Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Disable NAT, похоже, не работает., wifiman
 
#1
05.08.2024 22:30:00
Итак, у нас есть целая установка UniFi с UDM-SE и несколькими коммутаторами Enterprise на 48 портов, а также несколькими коммутаторами ProMax на 48 портов с PoE, работающими в режиме третьего уровня. У нас также есть Palo Alto, который выполняет функции основного межсетевого экрана. Теперь я вижу, что официально можно отключить NAT на контроллерах UniFi, но, похоже, это не работает или я просто не могу разобраться. Чтобы протестировать это, я настроил вторичный интерфейс на моем Palo. Я взял Unifi UCG Ultra и USW Pro 8, чтобы создать небольшую лабораторию и провести тестирование.

На стороне UniFi у меня WAN-порт настроен как 192.168.50.2 с шлюзом 192.168.50.1. У меня есть сеть по умолчанию 192.168.1.0/24. Я создал вторую VLAN 2 сеть и разместил ее на USW Pro 8 с 192.168.20.1/24. На Palo этот интерфейс подключен к WAN-порту UCG Ultra, настроенному на 192.168.50.1. Я создал статический маршрут в Palo для 192.168.1.0/24 с следующим хопом 192.168.50.2 и для 192.168.20.0/24 с следующим хопом 192.168.50.2. Оба маршрута ведут к физическому интерфейсу, который подключен.

Однако у меня возникает проблема: когда я захожу в настройки и отключаю NAT, и применяю изменения, моя сеть по умолчанию больше не может ничего достичь. Если я проверяю журналы Palo, я не вижу, что что-то доходит до него. Если я подключаю ноутбук к коммутатору на порту, настроенном для VLAN 2, сети 192.168.20.0/24, и пытаюсь что-то пинговать, я могу пройти, но в журналах Palo отображается WAN IP контроллера, а не адрес 192.168.20.x. Кто-нибудь знает, что я делаю не так или как настроить это так, чтобы это было просто проходящим соединением? У нас есть физический контроллер, и из-за дизайна L3 на оборудовании UniFi этот контроллер будет являться шлюзом по умолчанию для этого специального маршрута VLAN 4040, так что, что бы я ни делал, он будет маршрутизироваться через контроллер, и мне нужно отключить NAT.
 
 
 
#2
03.05.2025 19:55:00
Рад видеть, что эта тема обсуждается. Около девяти месяцев назад я поэкспериментировал с отключением глобального NAT, и в то время эта функция была настолько новой, что почти никто о ней не говорил. Я действительно думал, что теряю нить. Я не хотел использовать UniFi Security Gateway как основной маршрутизатор, потому что производительность на уровне 3 у Aggregation Pro казалась лучше по спецификациям. Плюс я всегда считал правильным давать возможность файрволам выполнять свои функции, а маршрутизаторам осуществлять маршрутизацию. В нашей конфигурации у нас уже был аппарат WatchGuard, который справлялся с обязанностями файрвола. Моя единственная реальная причина для установки UniFi Gateway заключалась в том, чтобы получить доступ к некоторым новым функциям безопасности, которые UniFi начала внедрять. Честно говоря, они развиваются так быстро, что наш специализированный файрвол стал выглядеть устаревшим. Мне только хотелось бы, чтобы в интерфейсе была живая статистика по трафику, действительно единственная причина, по которой я все еще использую сторонние файрволы, заключается в том, что устранение неполадок с блокировкой портов или проблемами по-прежнему вызывает трудности в security gateway (извини, UniFi). Вот что я обнаружил: если отключить глобальный NAT, то можно получить доступ к VLAN с третьестороннего файрвола, но только если UniFi Security Gateway выполняет маршрутизацию. Если вместо этого используется слойный коммутатор для маршрутизации, то переключатель глобального NAT, похоже, становится бессмысленным; больше декоративный переключатель, чем функциональный. Я бы хотел увидеть, чтобы эта функция была либо расширена, либо должным образом документирована. В текущем виде фраза «NAT можно отключить» без четкого указания на то, что это возможно только когда шлюз является основным маршрутизатором, кажется вводящей в заблуждение.
 
 
 
#3
27.03.2025 20:38:00
После нескольких недель обсуждения с поддержкой, я получил подтверждение, что это будет исправлено в будущем обновлении прошивки UXG. Поддержка предложила следующий обходной путь: подключитесь к CLI UXG и добавьте сети, которые нужно исключить из NAT, в ipset, например: ipset add UBIOS_ALL_ADDRv4_eth2 192.168.1.0/24. Однако этот способ не работает для меня, я получаю ошибку: ipset v7.10: Набор, который нужно добавить/удалить/проверить как элемент, не существует.
 
 
 
#4
04.03.2025 14:23:00
Кто-нибудь здесь разобрался? У меня тоже такая проблема.
 
 
 
#5
17.02.2025 08:47:00
Ты смог это решить? У меня такая же проблема. Я только что создал запрос в поддержку, но не уверен, как быстро они ответят.
 
 
 
#6
03.12.2024 19:46:00
Мы сталкиваемся с той же проблемой. Есть ли какие-то новости по поводу того, почему здесь выполняется NAT? Мы не можем понять, как это должно работать, и интересуемся, является ли это ошибкой, которая будет исправлена.
 
 
 
Страницы: 1
Читают тему (гостей: 1)