настроить VLAN 4040 - Форум UBIQUITI.RU

настроить VLAN 4040, wifiman

y2dan

Guest

23.11.2023 17:30:00

После обновления контроллера UniFi до версии 8.0.7 я больше не могу задать IP-шлюз для маршрутизации между VLAN (4040). Раньше это было возможно в версии 7.X. Для маршрутизатора стороннего производителя это очень важно, потому что если у меня есть точка-точка соединение, на обоих концах которого стоят сторонние маршрутизаторы с UniFi pro коммутаторами, работающими как L3 роутеры, мне нужно назначать адреса для маршрутизации между VLAN (4040) по-другому. Например: офис 1 — 10.255.253.1, офис 2 — 10.255.254.1.

Кроме того, если включена маршрутизация между VLAN, было бы здорово иметь возможность видеть или назначать статические IP каждому коммутатору для VLAN 4040, а не лезть по SSH и ifConfig, чтобы узнать эти данные. Это снова важный момент для сторонних шлюзов, потому что мне нужно настраивать маршруты на стороннем шлюзе, зная IP-адреса коммутаторов для VLAN 4040. Пример на стороннем маршрутизаторе — нужно настроить маршрут: route 192.168.60.0/24 (VLAN 60) через 10.255.253.4 (IP USW L3 коммутатора).

Старая версия 7.X:

Новая 8.0.7:

kevinling88

Guest

04.06.2024 13:06:00

Эти VLAN4040 и фиксированная подсеть IP 10.255.x.x (какая угодно, лишь бы «фиксированная») — полная шутка. А что если у меня несколько филиалов, связанных между собой через MPLS или маршрутизацию L3? Как это вообще может работать? В каждом филиале будет одинаковая подсеть VLAN4040 10.255.x.x в роли переходной, как тогда будет работать маршрутизация между ними? Как я могу попросить моего провайдера изменить их маршрутизатор, чтобы во всех филиалах LAN IP был VLAN4040 10.255.x.x?

Система Unifi полностью изолирована, тут вам нужно использовать Unifi Gateway, у каждого филиала должен быть свой выход в интернет, и через Unifi Gateway строится VPN для мульти-сайтового решения.

Если у вас есть MPLS или устройства других вендоров в роли шлюза или VPN-терминатора — ищите что-то другое, а не Unifi.

Я сейчас в процессе поиска замены обычному L3-коммутатору Cisco. Первый раз я попробовал использовать USW-Pro L3, но в итоге пришлось использовать его как простой L2-коммутатор в связке с обычным (не-Unifi) роутером — это стоило «очень много» денег. Просто ужасно разочарован в таком подходе. В масштабной сети это совершенно не работает. Сейчас изучаю продукты UISP / EdgeMax и надеюсь, что там всё будет немного «нормальнее».

keeop

Guest

03.06.2024 16:26:00

Интересно. Я использовал USW Enterprise 8 PoE для L3 маршрутизации на Windows контроллере версии 7xx. Потом купил USW Pro Max 24 PoE, планируя заменить им старый 24-портовый коммутатор, а восьмипортовый USW перенести в другое место. Чтобы управлять Pro Max, пришлось обновить контроллер до версии 8.x. Сделал это, вроде всё по-прежнему работает.

Параллельно игрался с UDM SE и настроил там VPN vLAN — всё тоже без проблем. Потом сделал контроллером UDM SE, перенёс на него Pro Max и настроил на Pro Max vLANы, чтобы он выступал DHCP сервером для этих vLANов и надеялся, что смогу организовать маршрутизацию к UDM SE через мой Sophos UTM. Но это не сработало так, как я хотел.

В итоге отказался от использования UDM SE в качестве контроллера и вернул все коммутаторы, точки доступа и т.д. обратно в Windows контроллер, чтобы все устройства снова были за Sophos — он стоит между UDM SE и остальной сетью. Но пытаясь воссоздать первоначальную схему, добиться работы уже не получилось.

Удалил и заново создал vLANы, назначил их маршрутизатором Pro Max, и автоматически создался Inter-VLAN routing vLAN с правильной настройкой стороннего шлюза. Однако, хотя устройства подключаются к нужной SSID и сети, похоже, маршрутизация через Sophos уже не идёт, как раньше. На Sophos ничего не менял — та же сетевая карта с тегом 4040, NAT masquerading на выход и статический маршрут для обратного трафика. Всё как и тогда, когда работало.

Зайдя по SSH на Pro Max, вижу дефолтную сеть и созданный vLAN, но VLAN4040 там отсутствует. Зато на старом восьмипортовом USW всё ещё есть четыре vLANа — старые, которые я удалял, потом создавал заново, плюс VLAN4040.

Похоже, конфигурация на USW 8 порт не обновилась, а на USW 24 порт не создалась корректно. Просто полный бардак, и я до сих пор не могу заставить это работать. Судя по всему, где-то баг и именно он это вызывает.

Мне очень нужно вернуть систему в рабочее состояние, но я не понимаю, в чем проблема. Может, дело в версии Windows контроллера? Если да, можно ли откатиться назад до 7.x? Тогда буду дальше использовать восьмипортовый USW для L3 маршрутизации, а UDM SE оставлю просто для принятия Pro Max и работы как обычного коммутатора.

Буду благодарен за любую помощь. Кто-то уже обращался с тикетом по этому поводу? Думаю, я тоже так сделаю.

Спасибо.
Keeop

y2dan

Guest

31.05.2024 06:32:00

Насколько я понимаю, Inter-VLAN 4040 должен работать через DHCP на вашем роутере, как и Default management LAN. Но, похоже, это не так. Например, по умолчанию management LAN — это 192.168.1.0/24. Я могу настроить сторонний роутер с адресом 192.168.200.1 и выделить этот подсет под DHCP — и всё работает отлично. Коммутаторы будут брать IP из диапазона 192.168.200.0/24. Но с VLAN 4040 так не происходит, хотя должно.

Тем не менее, я поэкспериментировал и выяснил, что не особо важно, если у вас 10.255.253.0/24 используется в двух местах через boVPN. По крайней мере, при использовании Watchguards. Главное — настроить статическую маршрутизацию на каждой стороне, например:

Локация 1, inter-vlan сети:
192.168.10.0/24
192.168.20.0/24

Локация 2, inter-vlan сети:
192.168.60.0/24
192.168.70.0/24

VPN маршрутизация на Локации 1:
192.168.10.0 <-> 192.168.60.0
192.168.10.0 <-> 192.168.70.0
192.168.20.0 <-> 192.168.60.0
192.168.20.0 <-> 192.168.70.0

А на стороне Локации 2 — наоборот. Всё должно работать без проблем. Нет необходимости подключать обе сети 4040 через VPN. Также можно объединить две сети управления, чтобы иметь SSH-доступ к коммутаторам через VPN. Только они должны быть в разных подсетях.

Однако это не решает проблему с определением IP для VLAN 4040 на ваших core-коммутаторах. Это не всегда 10.255.253.2, как заявляют. Эту ситуацию нужно исправить, это не должна быть игра в угадайку.

@UI-Glenn, есть ли по этому поводу новости? Похоже, что у нескольких теперь возникает такая же проблема.

sdee Guest	#5 29.05.2024 13:28:00 Я купил этот коммутатор после того, как убедился, что этот адрес можно изменить. Странно, что в магазине Unifi заявляют, что адрес можно менять, а на самом деле это невозможно.

jenkins Guest	#6 23.05.2024 22:59:00 Кто-нибудь уже нашёл ответ на это? Я работаю над развертыванием нескольких L3-коммутаторов Unifi. Похоже, эта функция сейчас совсем не работает.

tingraham

Guest

27.03.2024 13:59:00

Итак, были какие-то изменения по этому поводу? Мы рассматриваем использование коммутаторов Unifi в нашей сети, но когда я начал тестировать функции уровня 3, сразу же столкнулся с этим серьезным недостатком. Должна быть возможность менять VLAN и подсеть для маршрутизации. Не понимаю, почему это такая сложная задача. Их коммутаторы, уверен, могут это делать, если зайти в командную строку и настроить, но, конечно, после перезагрузки всё сбрасывается.

bleomycin Guest	#8 31.12.2023 21:59:00 Были какие-то сдвиги по этому вопросу? У меня такая же проблема на версии 7.5.187, и я боюсь обновляться до 8.x, чтобы не сломать всё. Сейчас я вообще не могу ни вносить изменения в vlan 4040.

y2dan

Guest

06.03.2024 19:07:00

Понимаю ваше раздражение. К сожалению, на данный момент единственный способ узнать IP-адреса — через CLI. Я ещё где-то в документации заметил, что если хотите изменить подсеть, например с 10.255.253.0 на 10.255.254.0, то нужно назначить статический IP на роутере — 10.255.254.1 с включённым DHCP в этой сети, а не использовать 243.1. Это должно перевести ваши коммутаторы на новую подсеть. Хотя у меня пока не получилось это сделать, даже после нескольких перезагрузок и удаления/повторного добавления L3-шлюза на VLAN. @UI-Glenn, это правильная процедура? Если да, то, похоже, где-то баг, потому что у меня это не работает. И есть ли новости по поводу бага, из-за которого больше нельзя менять или видеть подсеть 4040 в контроллере?

bleomycin

Guest

#10

03.03.2024 23:13:00

Меня удивляет, что так мало людей, похоже, волнует эта проблема. У меня несколько Enterprise XG-24 вышли из строя из-за этого, и это довольно огорчает. Нет, я не хочу использовать роутер unifi. У них нет и 10% той функциональности и производительности, которая мне нужна. Конечно, неприятно нести финансовые потери, но я уже практически готов продать своё оборудование Ubiquiti и двигаться дальше. Я хотел единый интерфейс для удобного управления коммутаторами, но не ценой такого откровенно примитивного функционала.

stephen.elaschuk Guest	#11 22.02.2024 21:43:00 Я заметил, что если переключиться обратно на «старый» интерфейс, то можно хоть как-то настроить параметры подсети, но, к сожалению, они так и не применяются к коммутатору. Так что особой пользы от этого нет.

y2dan

Guest

#12

18.01.2024 12:48:00

bleomycin написал: После нескольких тестов мне удалось найти временный способ обойти проблему и настроить IP-шлюз VLAN 4040. Это ни в коем случае не приемлемый способ, и для него нужен любой старый UniFi-шлюз (у меня, например, старый неиспользуемый USG). Как я писал ранее, нужно подключить устройство UniFi-шлюза и принять его. Неважно, если устройство не примется — на самом деле, это даже лучше. После этого маршрутизатор для сети Inter-VLAN 4040 должен стать шлюзовым устройством и перестать числиться как "3rd-party Gateway". Теперь можно зайти и настроить шлюз и параметры подсети для этого VLAN 4040. После сохранения отключите шлюз и удалите устройство из контроллера. Перезагрузите программное обеспечение контроллера и коммутаторы — теперь у вас должен появиться новый IP для 4040. В моём случае, если я захожу по SSH на UniFi-коммутатор, подключённый к моему стороннему шлюзу, и выполняю команду ifconfig rt_v4040, я вижу новый адрес, применённый на коммутаторе. Теперь для меня это 10.255.254.4 (ранее было 10.255.253.2), так как на контроллере я установил IP шлюза 10.255.254.1/24 (статический IP для тегированного интерфейса на стороннем роутере). В целом, это не самый удачный способ настройки множества сторонних шлюзов для VPN. Надеюсь, @UI-Glenn скоро вернётся с решением или исправлением. В идеале было бы здорово просто статически задавать LAN IP 4040 для коммутатора, подключённого к стороннему роутеру. Хотелось бы понять, как именно присваивается IP коммутатора в VLAN 4040 — надеюсь, это не динамические DHCP-адреса с истечением срока, а статические. Обычно при настройке роутинга на стороннем шлюзе я должен объявить IP шлюза коммутатора, в моём случае — 10.255.254.4. В общем, я не рекомендую делать то, что описал, если у вас нет острой необходимости менять этот IP 4040. Я тестировал это в лаборатории, а потом применил в продакшене и получил такие результаты.

y2dan

Guest

#13

12.01.2024 17:13:00

@UI-Glenn Сегодня немного поэкспериментировал и заметил кое-что странное. Если я подключаю устройство Ubiquiti шлюза (для меня это старый USG) или использую UDM-Pro, как только контроллер сети определяет роутер, я могу увидеть настройки Inter-VLAN 4040 и изменить IP прямо в контроллере на Windows. Но если потом отключить этот шлюз, роутер в Network Inter-VLAN 4040 снова переключается на 3rd Party Gateway (а именно его мне и нужно использовать), и настройки для изменения IP этой LAN исчезают.

bleomycin Guest	#14 11.01.2024 04:11:00 Это разочаровывает, а тишина просто оглушает. Какой неудобный способ оттолкнуть уже существующих клиентов.

y2dan Guest	#15 08.01.2024 19:06:00 К сожалению, нет. Я проверял каждую версию с тех пор и изучал примечания к релизам. Всё равно не видно и нельзя изменить. Это раздражает, так как у меня есть пара сайтов, которые нужно обновить, а они сейчас на 7.0.25 из-за этого. @UI-Glenn, не в курсе, появились ли сдвиги в решении этой проблемы?

Читают тему (гостей: 1)