Привет всем! У меня возникла проблема с маршрутизацией/файерволом в моей UniFi-сети, и я был бы благодарен за любые советы.
Настройка:
Контроллер: UniFi Network (последняя версия, с файерволом на основе зон)
Устройства: 2x UXG-Pro (Site A и Site B)
Соединение: Оба сайта соединены через Site Magic
Site A LAN: 192.168.200.0/24
Site B LAN: 192.168.210.0/24
VPN: OpenVPN сервер работает на Site A (подсеть 192.168.2.0/24)
Клиенты: Подключаются к Site A через OpenVPN (split tunnel), и могут получить доступ к 192.168.200.0/24 без проблем.
Проблема:
OpenVPN клиенты не могут получить доступ к Site B LAN (192.168.210.0/24), хотя:
Site A и Site B соединены через Site Magic (и маршрутизация между ними работает)
Файловый сервер на Site B доступен с Site A
Существует статический маршрут с Site A на 192.168.210.0/24 через Site Magic
На VPN клиентах я добавил ручной маршрут к 192.168.210.0/24 через 192.168.2.1 (OpenVPN шлюз)
Кажется, проблема в том, что Site B не распознает 192.168.2.0/24 как часть какой-либо определенной зоны, поэтому не применяется правило файервола на основе зон — и трафик отбрасывается.
Что я пробовал:
Пытался использовать Masquerading через интерфейс UniFi (Routing & Firewall > NAT > Masquerade) для SNAT VPN трафика на 192.168.200.254 (UXG-Pro Site A).
Мои вопросы:
Есть ли правильный, поддерживаемый UniFi способ разрешить трафик с OpenVPN клиентов (192.168.2.0/24) для доступа к удаленному сайту (192.168.210.0/24) через Site Magic?
Можно ли назначить зону или сеть подсети OpenVPN в Site B, даже если она локально не определена?
Есть ли более чистый способ реализовать постоянную Masquerading или поддержку маршрутизации для этого VPN сценария через несколько сайтов?
Заранее спасибо за любые предложения или обходные пути!
Настройка:
Контроллер: UniFi Network (последняя версия, с файерволом на основе зон)
Устройства: 2x UXG-Pro (Site A и Site B)
Соединение: Оба сайта соединены через Site Magic
Site A LAN: 192.168.200.0/24
Site B LAN: 192.168.210.0/24
VPN: OpenVPN сервер работает на Site A (подсеть 192.168.2.0/24)
Клиенты: Подключаются к Site A через OpenVPN (split tunnel), и могут получить доступ к 192.168.200.0/24 без проблем.
Проблема:
OpenVPN клиенты не могут получить доступ к Site B LAN (192.168.210.0/24), хотя:
Site A и Site B соединены через Site Magic (и маршрутизация между ними работает)
Файловый сервер на Site B доступен с Site A
Существует статический маршрут с Site A на 192.168.210.0/24 через Site Magic
На VPN клиентах я добавил ручной маршрут к 192.168.210.0/24 через 192.168.2.1 (OpenVPN шлюз)
Кажется, проблема в том, что Site B не распознает 192.168.2.0/24 как часть какой-либо определенной зоны, поэтому не применяется правило файервола на основе зон — и трафик отбрасывается.
Что я пробовал:
Пытался использовать Masquerading через интерфейс UniFi (Routing & Firewall > NAT > Masquerade) для SNAT VPN трафика на 192.168.200.254 (UXG-Pro Site A).
Мои вопросы:
Есть ли правильный, поддерживаемый UniFi способ разрешить трафик с OpenVPN клиентов (192.168.2.0/24) для доступа к удаленному сайту (192.168.210.0/24) через Site Magic?
Можно ли назначить зону или сеть подсети OpenVPN в Site B, даже если она локально не определена?
Есть ли более чистый способ реализовать постоянную Masquerading или поддержку маршрутизации для этого VPN сценария через несколько сайтов?
Заранее спасибо за любые предложения или обходные пути!