Возможно, я что-то упускаю из виду, перебираю тестирование и обучение в домашнюю лабораторию, так что будьте снисходительны... Сайт А работает с Opnsense и Wireguard сервером. Сайт Б подключен через клиентский режим на UCG Ultra под OS 4.1.13 и Network 9.0.108.
Локальный трафик между сайтами А и Б идет по маршруту, проблем нет. Политика и статические маршруты работают отлично с сайта Б, отправляя запросы для определенных веб-сервисов через WAN A.
Проблемы возникли с PBR с сайта А на выход WAN B. После проверки маршрутизации трафика в Wireguard туннель на сайте А, я немного запутался со стороны Unifi и в итоге запустил Greylog, чтобы проанализировать логи файрвола Unifi. Трафик от клиента А блокируется:
UCG-1 [WAN_IN-D-2147483647] DESCR="[WAN_IN]Block All Traffic" IN=wgclt1 OUT=wgclt1 MAC= SRC=10.0.80.3 DST=195.88.55.16
В матрице зон, во внешней зоне, где находится VPN клиент, есть правила, позволяющие трафику от 10.0.80.3 во множество зон, что позволяет трафику проходить. Я пытался добавить правило, где источник и назначение — внешние, чтобы разрешить трафик от 10.0.80.3 в любую внешнюю, но без успеха.
Источник Внешняя, Назначение Внутренняя, выше правило 2147483647 - пропускает трафик.
Разрешить 10.0.80.3 во внутренние клиенты
Источник Внешняя, Назначение Внешняя, выше правило 2147483647 - никакого эффекта, трафик все равно блокируется.
Разрешить 10.0.80.3 в любую внешнюю
Буду благодарен за любые предложения, к сожалению, настройка WG сервера на Unifi GW не очень практична из-за CGNAT провайдера.
Локальный трафик между сайтами А и Б идет по маршруту, проблем нет. Политика и статические маршруты работают отлично с сайта Б, отправляя запросы для определенных веб-сервисов через WAN A. Проблемы возникли с PBR с сайта А на выход WAN B. После проверки маршрутизации трафика в Wireguard туннель на сайте А, я немного запутался со стороны Unifi и в итоге запустил Greylog, чтобы проанализировать логи файрвола Unifi. Трафик от клиента А блокируется:
UCG-1 [WAN_IN-D-2147483647] DESCR="[WAN_IN]Block All Traffic" IN=wgclt1 OUT=wgclt1 MAC= SRC=10.0.80.3 DST=195.88.55.16
В матрице зон, во внешней зоне, где находится VPN клиент, есть правила, позволяющие трафику от 10.0.80.3 во множество зон, что позволяет трафику проходить. Я пытался добавить правило, где источник и назначение — внешние, чтобы разрешить трафик от 10.0.80.3 в любую внешнюю, но без успеха.
Источник Внешняя, Назначение Внутренняя, выше правило 2147483647 - пропускает трафик.
Разрешить 10.0.80.3 во внутренние клиенты
Источник Внешняя, Назначение Внешняя, выше правило 2147483647 - никакого эффекта, трафик все равно блокируется.
Разрешить 10.0.80.3 в любую внешнюю
Буду благодарен за любые предложения, к сожалению, настройка WG сервера на Unifi GW не очень практична из-за CGNAT провайдера.
