Проблемы с шлюзом USG PRO-4 Dual WAN

Проблемы с шлюзом USG PRO-4 Dual WAN, UniFi Network

ncadmin

Guest

02.03.2017 01:57:00

У меня есть USG PRO-4 с двумя разными провайдерами, и я до сих пор не смог настроить маршрутизацию по двум WAN, не то что переключение при сбое. По какой-то причине WAN2 хочет брать шлюз по умолчанию от WAN1. Если меняю это в графическом интерфейсе — настройки сбрасываются, если в командной строке — тоже сбрасываются. Команда show protocols static показывает статический маршрут по умолчанию, который направляет весь трафик через шлюз WAN1, и, похоже, в этом проблема, но я не могу понять, как это изменить. Я пытался настроить две отдельные таблицы 0.0.0.0/0 с разными следующими хопами для каждого LAN, но это не сработало. Что я упускаю, чтобы всё заработало?

wjn

Guest

20.03.2017 00:04:00

Теперь становится интересно. Я зашёл по SSH в USG-PRO-4, чтобы проверить, где именно был задан/установлен роутер (шлюз), и выяснилась странная ситуация.

(Часть) конфига, когда в GUI показывается только один шлюз (один адрес роутера для обоих WAN-портов):
protocols {
static {
interface-route 10.0.x.0/24 {
next-hop-interface vti0 {
distance 30
}
}
interface-route 192.168.x.0/24 {
next-hop-interface vti0 {
distance 30
}
}
route 0.0.0.0/0 {
next-hop 79.187.xxx.xxx {
distance 220
}
}
}
}

Та же (часть) конфигурации, когда в GUI оба WAN-порта имеют свои (правильные) шлюзы:
protocols {
static {
interface-route 10.0.x.0/24 {
next-hop-interface vti0 {
distance 30
}
}
interface-route 192.168.x.0/24 {
next-hop-interface vti0 {
distance 30
}
}
route 0.0.0.0/0 {
next-hop 79.187.xxx.xxx {
distance 1
}
next-hop 195.74.xxx.xxx {
distance 220
}
}
}
}

К моему удивлению, у обоих WAN-портов были корректные шлюзы, поэтому я проверил, что произойдет, если отключить WAN1 (вытащил Ethernet-кабель из WAN1).

В результате я полностью потерял интернет (до этого команда show load-balance watchdog показывала, что оба WAN-подключения могли пинговать ping.ubnt.com).

После того как я вытащил Ethernet-кабель из WAN1, в выводе show load-balance status оба шлюза стали «unknown»...

Подключил кабель обратно в WAN1 — и интернет снова заработал. Но шлюз WAN2 теперь был установлен по-другому — совпадал со шлюзом WAN1.

Я в тупике. Почему вместо переключения (failover) с WAN1 на WAN2, конфигурация USG-PRO-4 меняет шлюз WAN2 на шлюз WAN1, тем самым фактически блокируя интернет?

wjn Guest	#3 19.03.2017 22:05:00 Хорошо, я не проверял роутер (шлюз) WAN1: Он изменился соответственно. Роутер (шлюз) у WAN1 и WAN2 всегда одинаковый (если настроен через GUI). @UBNT-MikeD @UBNT-cmb Это известная ошибка? Решение в разработке?

wjn

Guest

04.04.2017 18:13:00

Привет!
В моём случае FW 4.3.37.4967221 решает проблему с шлюзом. Провиженинг больше не влияет. (Я сначала обновил контроллер до версии 5.4.14. Контроллер работает на VPS вне офиса.)
Интернет и Site2Site VPN продолжают работать с включённым WAN2 (раньше у меня была с этим проблема, которую решил контроллер 5.4.x), переключение на резервный канал тоже работает, интернет и Site2Site VPN остаются в строю.
USG-PRO-4 виден в контроллере после переключения на WAN2 (читал, что у некоторых это тоже вызывает проблемы).
Однако порт-форвардинг перестаёт работать при переключении на WAN2, и это явно проблема, потому что, например, внутренний почтовый сервер становится недоступен из интернета...
С уважением,

ncadmin

Guest

01.04.2017 14:01:00

Могу подтвердить, что версия прошивки 4.3.37.4967221 устраняет эту проблему. Теперь при обновлении настроек правильный шлюз для WAN2 сохраняется, а также появился новый статический маршрут, и в статусе load-balance отображаются оба активных интерфейса. watchdog load-balance по-прежнему показывает интерфейс 2 как неактивный, так что не уверен, не повлияет ли это на отказоустойчивость, но пока я рад таким успехам.

marekjs

Guest

24.03.2017 13:09:00

Ну... Я нашел этот FW в бета-теме и не хочу говорить, что всё работает идеально (потому что, скорее всего, нет), но, по крайней мере, это временно решает некоторые проблемы. Для меня это нормально — я «король» своего фреймворка и могу делать, что хочу. А вот если говорить об инфраструктуре клиента, которой управляешь удалённо, хмм... на месте клиента я бы расстроился. Поэтому я запускаю свою офисную доменную сеть, чтобы всё проверить перед массовым развертыванием, и ничего страшного, если я «пожарю» свои кластеры или пару клиентов здесь. Но честно говоря, я боюсь проводить такие эксперименты вдали от своего «тестового стенда» и никогда не разворачиваю бета-FW удалённо 😀. Удачи.

wjn Guest	#7 24.03.2017 12:20:00 Спасибо за информацию. Странно, что в некоторых случаях это работает, а в других – нет. Очевидно, это усложняет поиск и решение проблемы...

marekjs

Guest

24.03.2017 11:54:00

Привет! В моём случае переключение на резервный канал и балансировщик нагрузки работают как до, так и после перезагрузки USG4PRO. Это значит, что USG сохраняет шлюз после обновления прошивки до последней версии. Но с переадресацией портов всё по-прежнему плохо, и я могу сказать, что она не работает как резервное решение... Удачи!

wjn

Guest

23.03.2017 19:09:00

ммм, увидел это уже после того, как отправил заявку. 4.3.37.4967221 пока не стабильная версия, и один пользователь пишет, что LoadBalance не работает. Я до завтра на объекте с USG-PRO-4 и не собираюсь менять настройки WAN-интерфейсов удалённо, потому что слишком велик риск потерять интернет-соединение. (А на следующей неделе я буду в 1000 км от этого объекта...)

wjn Guest	#10 23.03.2017 18:54:00 Статические маршруты (через GUI) не подходят. Я отправил запрос в поддержку UBNT.

marekjs

Guest

#11

23.03.2017 12:49:00

Привет, я использую ту же прошивку (потому что меня достала официальная, и я не смог настроить два WAN от разных провайдеров через GUI). И да, ты прав — после перезагрузки у меня появляются дублированные WAN-шлюзы. Похоже, эта функция всё ещё работает с багами. Мне нужно пробросить порты для двух WAN, чтобы получить систему с резервированием, но это всё ещё не реализовано в прошивке 🙁
П.С. Похоже, что версия 4.3.37.4967221 исправляет проблему с шлюзами (надеюсь, и с пробросом портов тоже)...

wjn

Guest

#12

23.03.2017 09:38:00

Отключение DPI никак не влияет на ситуацию. Проблема остаётся та же — шлюз одного WAN перезаписывает шлюз другого WAN. (Именно это видно в графическом интерфейсе. Через командную строку видно, что в 'protocols static route 0.0.0.0/0' определён только один шлюз [next-hop], вместо двух.) Последняя попытка — настроить статические маршруты через GUI (Настройки > Маршрутизация и брандмауэр > Статические маршруты), после чего я отправлю запрос в поддержку. Самая свежая стабильная версия контроллера — 5.4.12, у меня установлена 5.4.11, но я не вижу никаких исправлений или изменений между этими версиями, которые могли бы решить проблему с шлюзами.

wjn

Guest

#13

22.03.2017 10:00:00

Я не подавал официального запроса в UBNT. На форуме надеюсь, что другие пользователи поделятся своими решениями возникших проблем. Вопрос касается важного объекта (у меня есть старый роутер на всякий случай), поэтому стоит USG-4 с двойным WAN. Я работаю с USG только когда нахожусь на месте, и, конечно, планирую это делать вечером или в выходные. Мне пришлось ждать контроллер версии 5.4.xx, чтобы решить проблемы с Site-to-Site соединением. Ранее, в версиях контроллера 5.x, такая связь неожиданно прерывалась, когда активировали WAN2. Сейчас это Site-to-Site работает с двойным WAN, но я столкнулся с проблемой шлюза (как и многие другие). Сегодня вечером проверю, влияет ли включенный DPI, но, скорее всего, нет. Если вариантов для тестов не останется (люблю исключать свои ошибки), тогда уже подам официальный запрос в UBNT.

JamMasterJay Guest	#14 22.03.2017 05:48:00 От команды Ubiquiti никакого ответа так и не последовало. @wjn ?

wjn

Guest

#15

21.03.2017 19:15:00

Я пытался найти способ вручную (через CLI) добавить шлюз к интерфейсу (WAN). Насколько я понял, это теперь нужно делать через маршруты, но пока не совсем ясно, как назначить шлюз конкретному интерфейсу... Вероятно, нужно назначить маршрут для интерфейса и добавить шлюз именно к этому маршруту. Не самое удобное решение, ведь я покупал оборудование Unifi именно чтобы управлять настройками через графический интерфейс, а не лазить в командной строке и разбираться с командами...

ncadmin Guest	#16 21.03.2017 02:12:00 Спасибо, @wjn, что дал немного больше контекста. Рад видеть, что я тут не один.

wjn

Guest

#17

19.03.2017 21:40:00

У меня та же проблема, USG-PRO-4 (4.3.34.4943827) и контроллер 5.4.11. В интерфейсе шлюз WAN2 «выглядит» скопированным с WAN1. IP-адрес статический, и я на 100% уверен, что ввёл правильный.

Если зайти по ssh на USG, то шлюз WAN2 (eth3) отображается корректно. Смотрите скриншоты (в скриншотах я убрал последнюю часть IP-адресов, первые части уже отличаются, так что видно, что между GUI и SSH есть разница).

Насколько я понимаю, это происходит ПОСЛЕ перепрошивки USG, когда WAN2 добавлялся или активировался.

Чтобы было ещё веселее, если перезапустить USG с описанными настройками, переключение на резервный канал не сработает (потому что шлюз неизвестен). Смотрите ниже:

После этого я снова ввёл правильный IP маршрутизатора (шлюза) в интерфейсе — теперь всё нормально и держится.

Пробовал перезагрузку и перепрошивку (добавил только VPN-сеть), шлюз WAN2 всё равно показывает правильный IP. Похоже, что при первоначальной прошивке происходит что-то странное.

cmdlet Guest	#18 17.03.2017 00:08:00 Хотелось бы иметь ответ на это, но у нас тоже такая же проблема; используем контроллер версии 5.4.11 и последнюю прошивку для USG PRO-4 — 4.3.34.4943827. Нужно как-то это решить, потому что из-за этого у нас возникают проблемы.

Читают тему (гостей: 1)