Клиент WireGuard, CGNAT и правила брандмауэра Unifi.

Клиент WireGuard, CGNAT и правила брандмауэра Unifi., UniFi Network

jlhinson

Guest

18.05.2025 12:21:00

У меня CGNAT от провайдера. Я настроил WireGuard сервер на VPS, чтобы подключаться к домашней сети, когда я в отъезде. Мой UCG Fiber настроен как клиент WireGuard и перенаправляет трафик от других клиентов (телефона, ноутбука и т.д.) через WireGuard конфигурацию на VPS. С появлением зон Unifi Network все VPN клиентские подключения автоматически добавляются во внешнюю зону и их нельзя изменить (по крайней мере, мне не известно). Учитывая это, мне пришлось добавить правило, разрешающее доступ из внешней зоны во внутреннюю, основываясь на том, является ли IP-адрес источника IP-адресом WireGuard клиента (я использую подсеть 10.x.x.x). Все работает отлично, но не нравится, что есть такое правило разрешающее доступ из внешней зоны во внутреннюю. Кажется… неправильным. Я недостаточно компетентен, чтобы знать, есть ли какие-то последствия для безопасности, когда я разрешаю доступ из внешней зоны во внутреннюю, основываясь на конкретном IP-адресе, который является "только для локальной сети" (10.x.x.x), приходящем во внешнюю зону (от VPN клиента). Может ли это быть использовано против меня или я в безопасности? Есть ли какой-то лучший способ? Буду рад любым мыслям/комментариям!

jlhinson

Guest

19.05.2025 15:44:00

Выкладывал это ещё несколько дней назад на Reddit, но ответа не получил. Думаю, такая конфигурация встречается редко. Просто хотел узнать о потенциальных проблемах, если дать доступом к внутренней зоне с внешней по локальному IP-адресу.

jlhinson Guest	#3 18.05.2025 16:55:00 Я сейчас не пользуюсь аккаунтом Unifi, и мне кажется, что Teleport это требует. Еще я бы не хотел устанавливать WifiMan на свой ноутбук с Linux.

athurdent Guest	#4 18.05.2025 16:33:00 Можно просто использовать Teleport VPN, он работает за NAT. VPS не нужен.

Читают тему (гостей: 1)