Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Hairpin Loopback для внешнего DNS во внутреннем домене, wifiman
 
#1
26.10.2023 14:56:00
Я понимаю, что это, вероятно, уже обсуждалось, но я никак не могу найти информацию. Нужна помощь с loopback NAT-адресом на UXG-Pro с контроллером версии 7.5.187. У меня есть внешний DNS-имя, которое резолвится в правильный внешний IP, но внутренние устройства не могут подключиться к серверу. Кто-нибудь может помочь настроить это правильно, или мне просто добавить DNS-записи в мой локальный DNS, чтобы они указывали на внутренний IP? Все правила файрвола настроены правильно и позволяют внешним источникам подключаться к внутренним серверам. Заранее спасибо!
 
 
 
#2
22.09.2024 11:45:00
У меня похожие проблемы, но у меня есть только такие устройства: Vodafone Router <--> USW-Lite-16-POE <--> UAP-AC-PRO.

Когда я подключаюсь к коммутатору или точке доступа и пытаюсь зайти на мой динамический DNS адрес myhost.duckdns.org (который указывает на внешний IP моего роутера с пробросом портов на внутреннюю машину), соединение прерывается по таймауту. Если подключиться напрямую к роутеру, соединение проходит нормально.

Может быть, у коммутатора есть какая-то функция, которая блокирует этот запрос? DNS-имя разрешается правильно.
 
 
 
#3
18.09.2024 20:29:00
Что для тебя работает — продолжай делать именно так!
 
 
 
#4
18.09.2024 19:34:00
Настройка сети как гостевой просто добавляет предопределённые правила блокировки. Лично я ни разу не разворачивал сеть UniFi или VLAN с меткой гостевой. Я использую только Corp и сам управляю правилами файрвола (по умолчанию запрет, разрешаю по необходимости). В моей самой большой сети UniFi — 12 сетей, многие из них хостят изолированные "DMZ"/сервисы с доступом из интернета, ни одна из них не определена как гостевая.
 
 
 
#5
18.09.2024 17:52:00
Извиняюсь, что давно не обновлял свои публикации. Похоже, что на новых устройствах UXG только сети, отмеченные как "CORPORATE", могут выполнять loopback. Сети с пометкой "GUEST" такого не умеют. Я проверил свои установки USG3, и те, которые поддерживают loopback, делают это через сеть "GUEST", как я и хотел, а также через "CORPORATE". Это неприятно, ведь у большинства моих клиентов настроена одна сеть для оборудования Unifi — она помечена как "CORPORATE", а все остальные — как "GUEST".  
Джеймс
 
 
 
#6
09.08.2024 20:19:00
Возможно, ты прав, просто за последние несколько месяцев после выхода новых продуктов UXG/UCG было много жалоб на то, что loopback/hairpin NAT «не работает», и я не припомню, чтобы кто-то подтвердил, что теперь всё действительно работает как надо (то есть без всяких особых танцев с бубном вокруг фаерволов или DNS — просто сразу из коробки, как это работает на USG3). У меня самого нет UXG/UCG, и, честно говоря, пока не уверен, что вообще когда-нибудь возьму, учитывая все текущие проблемы, но это просто ещё один пункт в моей голове, который нужно вычеркнуть, иначе USG3 придётся отрывать у меня из холодных мёртвых рук (да-да, я знаю, что он устарел и уязвим, но он хоть *работает*!). Спасибо, что подтвердил, что у тебя всё работает — какое устройство у тебя? Пока поставлю этот пункт в список выполненных. 👍 😀
 
 
 
#7
09.08.2024 19:57:00
Я не уверен, что это сломано или сейчас не поддерживается. Обычно, когда у людей возникают проблемы с этим, на самом деле ничего не сломано — просто люди не всегда понимают, как на самом деле работают правила фаервола и NAT и как они взаимодействуют. Распространённое предположение такое: трафик, направленный на IP/порт на стороне WAN шлюза из локальной сети, выходит из шлюза в интернет, а потом возвращается обратно. На самом деле так не происходит, и поэтому думают, что правила фаервола LAN-to-LAN не влияют на эти сервисы. К тому же, в версии 3.1.16 был исправлен баг, специфичный для UXG-Lite, который мог повлиять на некоторых пользователей. В общем, каждый раз, когда я это проверял, всё работало корректно. Если у кого-то проблемы и не сразу понятно почему, и если можно использовать DNS-запись для решения, я обычно советую сделать именно так — просто чтобы быстрее решить вопрос, больше ни по какой причине.
 
 
 
#8
09.08.2024 19:09:00
Итак... в чем проблема поддерживать это на всех новых шлюзах, если на USG3 всё работает отлично? Это просто ещё одно (пусть и незначительное) препятствие для перехода с USG3 на что-то другое. Лично я не хочу мудрить с правилами файрвола и локальным DNS, чтобы заставить работать такую простую вещь, как hairpin NAT. 🤷‍♂️ @UI-Team @UI-Glenn Это просто недостающая функция, которую Ubiquiti планирует добавить, или что-то, что они вообще не собираются поддерживать на новых и будущих шлюзах (что кажется странным)?
 
 
 
#9
09.08.2024 03:09:00
У меня тоже самое. Никогда у меня это не работало. UXG-Pro и Cloud Key Gen2 Plus.
 
 
 
#10
24.04.2024 21:53:00
У меня такая же проблема. Я заменил USG3P на UXG-PRO, и теперь не могу получить доступ к системе камер через мой DDNS или по публичному IP в приложении из внутренних сетей, хотя с USG3P это работало. Я отправил заявку в поддержку Unifi, но ответ был бесполезным. Мой ответ с дополнительной информацией был два дня назад, и с тех пор никто не ответил... типично.
 
 
 
Страницы: 1
Читают тему (гостей: 1)