Проблемы с DNAT в USG Pro 4, Несколько публичных IP-адресов

Проблемы с DNAT в USG Pro 4, Несколько публичных IP-адресов, UniFi Network

akillingsworth

Guest

19.10.2016 10:06:00

Привет! Мы пытаемся настроить USG Pro 4 с несколькими публичными IP-адресами, используя DNAT для нескольких внутренних серверов. Нам удалось заставить USG принять наш блок IP-адресов. Однако нам пока не удалось настроить DNAT так, чтобы пакеты успешно перенаправлялись на внутренние IP. Надеемся, кто-то сможет подсказать или дать совет. Вот пример нашей конфигурации.

{
"interfaces": {
"ethernet": {
"eth2": {
"address": [
"50.201.x.x/29",
"50.201.x.x/29",
"50.201.x.x/29"
],
"firewall": {
"in": {
"name": "WAN_IN"
},
"local": {
"name": "WAN_LOCAL"
}
}
}
}
},
"service": {
"nat": {
"rule": {
"3001": {
"description": "ARM forward 50.201.x.x to 192.168.x.x",
"destination": {
"address": "50.201.x.x",
"port": "443"
},
"inbound-interface": "eth2",
"inside-address": {
"address": "192.168.x.x"
},
"log": "enable",
"protocol": "tcp",
"type": "destination"
},
"5001": {
"description": "ARM forward 192.168.x.x to 50.201.x.x",
"log": "disable",
"outbound-interface": "eth2",
"outside-address": {
"address": "50.201.x.x",
"port": "443"
},
"protocol": "tcp",
"source": {
"address": "192.168.x.x",
"port": "443"
},
"type": "source"
}
}
}
},
"firewall": {
"name": {
"WAN_IN": {
"rule": {
"3010": {
"action": "accept",
"description": "PortForward [50.201.x.x to 192.168.x.x] on tcp 80,443",
"destination": {
"address": "192.168.x.x",
"port": "443"
},
"log": "enable",
"protocol": "tcp"
}
}
}
}
}
}

akillingsworth

Guest

30.05.2017 23:14:00

У нас не получилось это настроить. Мы купили новый роутер, предназначенный для корпоративного использования. Этот явно не для этого подходит. Однако мы перепрофилировали его для небольшой удалённой точки без статического IP. Похоже, он отлично справляется в роли роутера для малого офиса или домашнего офиса.

mikdav Guest	#3 30.05.2017 23:02:00 Ребята, а у вас вообще получилось это запустить? У меня такая же проблема.

bcsanford

Guest

13.08.2018 16:52:00

Возможно, для Криса (@UBNT-cmb) это было приоритетом, но с тех пор прошло уже больше года после его заявления и 2 месяца с последнего обновления от @UBNT-MikeD в этой теме: https://community.ui.com/questions/82d86374-e879-476f-b423-b1b29892f862#comment/a28f3678-dfef-4b54-b19d-cd99e80df6c5, а с его первого сообщения по этому вопросу прошло уже 6 месяцев, а результата до сих пор нет.

newen

Guest

31.05.2017 14:30:00

Не могли бы вы быть чуть конкретнее? В какой-то момент это планировалось в ветке 5.5.x, потом в 5.6.x, но в бете до сих пор ничего нет (да и самой беты в 5.6.x уже не существует). Отсутствие этой функции по сути опускает UniFi до уровня SOHO-сегмента, хотя некоторые SOHO-маршрутизаторы её уже поддерживают.
* У меня сеть UniFi с несколькими WAN-адресами, настроенными через CLI, но это просто головная боль. Не то чтобы настроить сложно, а вот поддерживать и вносить изменения — настоящее мучение.

mikdav

Guest

31.05.2017 05:15:00

Муахахаха! Наконец-то понял. Правило NAT и IP-адреса правильные. Я сделал tcpdump на интерфейсе WAN и увидел, что пакеты приходят. Потом сделал tcpdump на интерфейсе LAN — и пусто. Таблица NAT-переводов показывает правильный трансляцию, и статистика говорит, что пакеты проходят по правилу. Оказывается, правило файрвола должно применяться после NAT, потому что если в правиле указан IP-адрес LAN-сервера как адрес назначения, то NAT работает! Вот что у меня есть по правилу файрвола для этой NAT-конфигурации:
admin@router# show firewall name WAN_IN rule 2001
action accept
destination {
address 192.168.XX.XX
port 443
}

mikdav Guest	#7 31.05.2017 03:08:00 И на всякий случай я даже добавил исключение в брандмауэр: admin@router# show firewall name WAN_IN rule 2001 action accept destination { address XX.XXX.129.59 port 443 } protocol tcp_udp

mikdav

Guest

31.05.2017 03:05:00

Да, уже пробовал. Пока безрезультатно. Ниже приведена соответствующая конфигурация.

admin@router# show interfaces ethernet eth2
address XX.XXX.129.58/24
address XX.XXX.129.59/24
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}

admin@router# show service nat rule 2001
destination {
address XX.XXX.129.59
port 443
}
inbound-interface eth2
inside-address {
address 192.168.XX.XX
port 443
}
protocol tcp_udp
type destination

UI-Team

Guest

31.05.2017 03:01:00

JSON написан правильно, за исключением ошибки форматирования в примере — запятую после последней записи "50.201.x.x/29" нужно убрать, иначе JSON не применится на USG. Лучший способ проверить, применяются ли ваши ручные изменения или переопределения — подключиться по SSH к USG и ввести:
configureshow interfaces ethernet eth2
show service nat
— это актуально именно для этого примера JSON. Если же вы меняли, скажем, конфигурацию VPN, то используйте команду
show vpn.
Эти команды выводят текущую рабочую конфигурацию USG. К тому же настройка MultiWAN уже практически готова для конфигурации через GUI. Я знаю, что это один из главных приоритетов Криса.

mikdav Guest	#10 31.05.2017 02:47:00 Я начинаю соглашаться. Уже на грани того, чтобы вернуть эту дрянь обратно.

Читают тему (гостей: 1)