Спасибо всем за помощь – я наконец-то выследил проблему до странной настройки файрвола с геозонированием, о которой я даже не подозревал.
Я прочитал несколько вопросов и ответов на эту тему, но не могу разобраться. Судя по всему, VPN-клиенты по умолчанию должны иметь доступ ко всем внутренним сетям. Однако, хотя они могут подключаться к VPN, получают доступ к интернету/DNS нормально и могут пинговать хосты в локальной сети – они не могут подключиться к ним по SSH (я не пробовал другие протоколы).
Помимо включения сервера и создания конфигурации клиента, есть ли что-то еще, что мне нужно сделать?
Моя конфигурация:
UCG-Ultra (Network v9.1)
LAN-подсеть 192.168.0.0/24 (шлюз 192.168.0.1) – без VLAN.
VPN-подсеть 192.168.1.0/24 (шлюз 192.168.1.1)
Я еще не перешел на файрвол на основе зон.
Конфигурация клиента установлена на значения по умолчанию. У меня есть pi-hole на 192.168.0.7, который, похоже, работает для клиентов, чтобы блокировать рекламу (DNS установлен на "auto" в конфигурации VPN-сервера). Странно, но клиенты не могут пинговать IP-адрес pi-hole (но они могут все остальные в локальной сети).
Я пробовал создавать явные правила файрвола "LAN in" и "LAN out", чтобы разрешить трафик из/в VPN-подсеть в локальную сеть. Это не влияет.
Я пробовал изменить VPN-подсеть на 172.16.1.0/24 – без эффекта.
Если я открою порт 22 в файрволе, я могу войти из удаленных сетей.
Если включить обнаружение вторжений (только уведомления), я вижу «попытки вторжений», когда клиенты пытаются получить доступ к хосту в локальной сети.
Я не вижу других ошибок, кроме таймаутов на стороне клиента при попытке подключения к чему-либо в локальной сети.
Я думаю, что могу настроить Wireguard-сервер в сети, но VPN Unifi должен работать! Что я делаю не так?
(Кстати, по пути я выяснил, что UCG сохраняет файл конфигурации WG с именем, которое слишком длинное, чтобы импортировать в клиент с ошибкой "Invalid name". И клиенты WG не могут прочитать QR-код тоже.)
Я прочитал несколько вопросов и ответов на эту тему, но не могу разобраться. Судя по всему, VPN-клиенты по умолчанию должны иметь доступ ко всем внутренним сетям. Однако, хотя они могут подключаться к VPN, получают доступ к интернету/DNS нормально и могут пинговать хосты в локальной сети – они не могут подключиться к ним по SSH (я не пробовал другие протоколы).
Помимо включения сервера и создания конфигурации клиента, есть ли что-то еще, что мне нужно сделать?
Моя конфигурация:
UCG-Ultra (Network v9.1)
LAN-подсеть 192.168.0.0/24 (шлюз 192.168.0.1) – без VLAN.
VPN-подсеть 192.168.1.0/24 (шлюз 192.168.1.1)
Я еще не перешел на файрвол на основе зон.
Конфигурация клиента установлена на значения по умолчанию. У меня есть pi-hole на 192.168.0.7, который, похоже, работает для клиентов, чтобы блокировать рекламу (DNS установлен на "auto" в конфигурации VPN-сервера). Странно, но клиенты не могут пинговать IP-адрес pi-hole (но они могут все остальные в локальной сети).
Я пробовал создавать явные правила файрвола "LAN in" и "LAN out", чтобы разрешить трафик из/в VPN-подсеть в локальную сеть. Это не влияет.
Я пробовал изменить VPN-подсеть на 172.16.1.0/24 – без эффекта.
Если я открою порт 22 в файрволе, я могу войти из удаленных сетей.
Если включить обнаружение вторжений (только уведомления), я вижу «попытки вторжений», когда клиенты пытаются получить доступ к хосту в локальной сети.
Я не вижу других ошибок, кроме таймаутов на стороне клиента при попытке подключения к чему-либо в локальной сети.
Я думаю, что могу настроить Wireguard-сервер в сети, но VPN Unifi должен работать! Что я делаю не так?
(Кстати, по пути я выяснил, что UCG сохраняет файл конфигурации WG с именем, которое слишком длинное, чтобы импортировать в клиент с ошибкой "Invalid name". И клиенты WG не могут прочитать QR-код тоже.)
