UDM SE нет доступа к VPN-туннелю Site-to-Site для удаленных офисов при использовании WireGuard VPN.

UDM SE нет доступа к VPN-туннелю Site-to-Site для удаленных офисов при использовании WireGuard VPN., wifiman

tlnc30

Guest

05.02.2025 22:04:00

Недавно настроил UDM SE. У меня работает WireGuard VPN-сервер и VPN-туннель (на основе политик) site-to-site до удалённого узла. Пока я на локальной сети UDM SE, удалённый узел доступен без проблем. Однако, когда я подключаюсь к UDM SE через WireGuard извне, я могу получить доступ только к локальной сети UDM SE, но не к удалённому узлу. Все стандартные правила брандмауэра на месте. Есть ли какие-то дополнительные правила брандмауэра или конфигурация WireGuard, которые нужно добавить, чтобы разрешить трафик к удалённому узлу при подключении к UDM через WireGuard? Я пытался добавить WireGuard-подсеть в список туннелей удалённого роутера, но это ничего не изменило. Также я добавил подсеть удалённого узла в список разрешённых IP-адресов WireGuard, но это тоже не помогло.

jcraine Guest	#2 11.02.2025 16:21:00 Был бы рад помочь, но не уверен, как работают политики. Мой сайт-в-сайт был на Meraki, так что смешанная среда вполне возможна. С какой стороны идёт провал trace route?

tlnc30

Guest

07.02.2025 05:52:00

Я определил подсеть WireGuard в настройках S2S VPN на удалённом роутере точно так же, как и подсеть LAN по умолчанию. Однако туннель для подсети WireGuard никак не хочет подниматься. Роутер на удалённом сайте не Unifi, может быть, там какая-то несовместимость? Странно, что обычный LAN-трафик работает, а трафик подсети VPN-сервера — нет. Я не могу использовать политику на основе маршрутов, потому что у меня нет статических IP-адресов.

packetengines Guest	#4 07.02.2025 03:12:00 Я тут думал про IPsec (который ты и подтвердил), и, вероятно, про облачный сервис?

tlnc30 Guest	#5 06.02.2025 17:07:00 Я использую ipsec для S2S VPN. То, что ты показал, — это именно то, чего я пытаюсь добиться. Есть ресурс на удалённой площадке, к которому я хочу получить доступ, когда я не нахожусь на площадке с UDM SE.

jcraine

Guest

06.02.2025 12:34:00

Полностью поддерживаю. У меня абсолютно идентичная конфигурация. Если политика VPN настроена корректно (как я уже говорил в предыдущем сообщении, я использовал routed), нужно лишь убедиться, что у клиента указана разрешенная сеть для site to site, у UDM-SE настроены правила файрвола VPN (по умолчанию, как я понимаю, разрешено всё для VPN к VPN), и, наконец, чтобы в site to site была указана сеть удалённого VPN. Только что протестировал эту конфигурацию (IPSEC site to site) – работает.

packetengines

Guest

06.02.2025 09:08:00

Вы на самом деле не указываете тип S2S VPN. Однако, если я правильно понимаю, вы пытаетесь сделать именно это, и это не поддерживается. [Удалённый Wireguard-клиент] <---> [Wireguard-сервер (UDM-SE) Site-to-Site] <---> [Site-to-Site Remote]. Третьестороннее решение, использующее Wireguard, сработает.

jcraine

Guest

06.02.2025 03:59:00

Думаю, если обычные пинги не помогут, то следующим шагом будет проследить маршрут с обеих сторон до другого конца и посмотреть, где именно они останавливаются – это может подсказать, в чём дело. Мои WireGuard настроены на маршрутизацию вместо политики, поэтому тут я не особо помогу.

tlnc30 Guest	#9 06.02.2025 01:49:00 Да, так и есть.

jcraine Guest	#10 06.02.2025 01:16:00 Есть ли у удаленной площадки маршрут к подсети VPN Wireguard?

packetengines Guest	#11 07.02.2025 08:23:00 @tlnc30 Если тебе нужно стороннее решение, использующее твою существующую сетевую инфраструктуру, мне понадобится информация о удаленном конце.

Читают тему (гостей: 1)