Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
Перенаправляю трафик с WG клиента в WAN., UniFi Network
 
Возможно, я что-то упускаю из виду, перебираю тестирование и обучение в домашнюю лабораторию, так что будьте снисходительны... Сайт А работает с Opnsense и Wireguard сервером. Сайт Б подключен через клиентский режим на UCG Ultra под OS 4.1.13 и Network 9.0.108. Локальный трафик между сайтами А и Б идет по маршруту, проблем нет. Политика и статические маршруты работают отлично с сайта Б, отправляя запросы для определенных веб-сервисов через WAN A.

Проблемы возникли с PBR с сайта А на выход WAN B. После проверки маршрутизации трафика в Wireguard туннель на сайте А, я немного запутался со стороны Unifi и в итоге запустил Greylog, чтобы проанализировать логи файрвола Unifi. Трафик от клиента А блокируется:

UCG-1 [WAN_IN-D-2147483647] DESCR="[WAN_IN]Block All Traffic" IN=wgclt1 OUT=wgclt1 MAC= SRC=10.0.80.3 DST=195.88.55.16

В матрице зон, во внешней зоне, где находится VPN клиент, есть правила, позволяющие трафику от 10.0.80.3 во множество зон, что позволяет трафику проходить. Я пытался добавить правило, где источник и назначение — внешние, чтобы разрешить трафик от 10.0.80.3 в любую внешнюю, но без успеха.

Источник Внешняя, Назначение Внутренняя, выше правило 2147483647 - пропускает трафик.
Разрешить 10.0.80.3 во внутренние клиенты
Источник Внешняя, Назначение Внешняя, выше правило 2147483647 - никакого эффекта, трафик все равно блокируется.
Разрешить 10.0.80.3 в любую внешнюю

Буду благодарен за любые предложения, к сожалению, настройка WG сервера на Unifi GW не очень практична из-за CGNAT провайдера.
 
Установил teleport и прогоняю ещё тесты, те же направления:
Teleport:UCG-1 [VPN_WAN-A-2147483647] DESCR="[VPN_WAN]Allow All Traffic" IN=tlprt0 OUT=eth4 MAC= SRC=192.168.2.2 DST=195.88.54.16 
WG клиент tunel:UCG-1 [WAN_IN-D-2147483647] DESCR="[WAN_IN]Block All Traffic" IN=wgclt1 OUT=wgclt1 MAC= SRC=10.0.80.3 DST=195.88.55.16

На первый взгляд, трафик WG с адресом назначения 195.88.55.16 должен был идти через eth4. Добавление source nat или masquerade не меняет ситуацию.
Страницы: 1
Читают тему (гостей: 1)