Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Маршрутизация через несколько VPN, UniFi Network
 
#1
23.01.2017 20:00:00
3 сайта: Satelite, Main и Hosting. VPN — IPSec, настройка выполнена через графический интерфейс (Unifi Cloud Key). Satelite к Main — связь работает. Main к Hosting — связь работает. Мне нужно иметь возможность подключаться к Hosting с Satelite (через Main). Как это сделать? P.S. Я не могу использовать auto-vpn, так как Hosting — не устройство ubnt. При настройке «ручного» VPN авто-VPN не работают. :(
 
 
 
#2
13.02.2017 12:16:00
@AADIP

Создать туннель напрямую от Satelite к Hosting могло бы сработать. Проблема в том, что я не контролирую (и даже не знаю производителя) роутера «Hosting». У меня более 60 «Satelites». Я бы хотел избежать просьб к хостинг-компании сделать 60+ VPN. Скорее всего, мне также придется менять локальные IP почти на всех моих сателитах. Так что это реально не вариант. Я пытаюсь сделать «Туннель 1» внутри «Main <-> Hosting», который будет, например, /16. Все сателиты тогда будут /24 в рамках этого /16.

@stshaw сделал именно это. И я знаю, как сделать такое через cli и/или json-файл (я подозреваю, что stshaw пользовался json-файлом). Просто я хочу этого избежать и сделать всё через Unifi-gui. Во-первых, я скорее всего забуду, что сделал json, и потом расстроюсь, потому что что-то перестанет работать через 6 месяцев. 😀 Во-вторых, если я завтра помру, мой преемник должен разобраться, что я наковырял, без особых знаний об Ubiquiti.

Проблема сейчас в том, что через gui я НЕ могу управлять «local prefix», только «remote prefix». В «local prefix» включены только «корпоративные» сети. Сеть типа «site-vpn» не входит (и её нельзя выбрать через gui). Так что через gui «этого» не сделать. (Я ожидал, что хотя бы статический маршрут к «Hosting» нужен будет на «Satelite».)

stshaw писал: Я просто добавил новый IPSEC-туннель между Main и Hosting (надо настроить роутеры на обоих концах) и завершил туннель на Main с подсетью, используемой VPN-туннелем Satelite.

Решение примерно такое:

site-to-site {  
peer «Hosting-IP» {  
authentication {  
mode pre-shared-secret  
pre-shared-secret «TheSecretPassword»  
}  
connection-type initiate  
ike-group IKE_«HostingIP»  
local-address «Main-IP»  
tunnel 0 {  
allow-nat-networks disable  
allow-public-networks disable  
esp-group ESP_«HostingIP»  
local {prefix «Main-net»/24}  
remote {prefix «Hosting-net»/24}  
}  
tunnel 1 {  
allow-nat-networks disable  
allow-public-networks disable  
esp-group ESP_«Hosting-IP»  
local {prefix «ALLSatelites-net»/16}  
remote {prefix «Hosting-net»/24}  
}  
}  
}

Видимо, мне придется использовать json-подход. 🙁 Я надеялся на какой-нибудь хитрый snat/маршрутизацию через gui.
 
 
 
#3
11.02.2017 16:50:00
Теперь у меня все работает. Вчера вечером я подумал, что, возможно, мне нужен новый туннель между Main и Hosting. Это сработало. Не понадобилось никаких правил файрвола, изменений в NAT или статических маршрутах. В конфигурации Satellite VPN тоже ничего не менял. Просто добавил новый IPSEC-туннель между Main и Hosting (пришлось настроить роутеры с обеих сторон) и завершил туннель на стороне Main, используя подсеть, которая задействована в VPN-туннеле Satellite. Похоже, @AADIP предлагал что-то похожее.
 
 
 
#4
11.02.2017 15:30:00
@ITBolig

Тебе не нужны правила на LAN_LOCAL. Их надо ставить на LAN_IN. Если ты делаешь блокировку в конце (внизу) своих правил, тебе понадобятся такие правила на всех файрволах:  
#1  
Источник: Satellite  
Назначение: Hosting  
Разрешить  

#2  
Источник: Hosting  
Назначение: Satellite  
Разрешить  

Это как минимум позволит пройти через все файрволы, чтобы Hosting и Satellite могли общаться. Статический маршрут всё равно нужно оставить, но не включай эти подсети в конфиг VPN. Если VPN подключается корректно с каждого спаука, то не трогай его.  

Если у тебя были правила файрвола, позволяющие каждому спауку общаться с основной подсетью, то всё настроено правильно. Если нет — добавь их.  

Если ты ещё не пробовал: попробуй сделать несколько туннелей? Можно сделать спутник—к—главному, спутник—к—hosting. А туннель главный—к—hosting оставь как есть. Если добавить подсети в конфиг VPN спутник—к—hosting и наоборот, то маршруты появятся в таблице после успешного завершения IKE и IPsec.  

Вижу, у тебя уже были проблемы с ручной настройкой. Ты делал отладку, пока этот конфиг был активен?
 
 
 
#5
11.02.2017 08:38:00
Хмм, всё прошло неплохо.

@stshaw  
У меня похожее решение работает на одном из трёх основных сайтов. Но этот VPN-концентратор стоит около 3 тысяч долларов 🙁 (AeroHive).

@AADIP  
Никаких успехов с настройкой статических маршрутов. Я ещё пытался расширить конфигурации VPN, чтобы включить «другую» сторону. Также менял интерфейс в статическом маршруте с «WAN» на «VPN интерфейс». Хмм, может, поможет какая-то настройка файрвола на «Main»? На «Main», в «LAN Local» я настроил трафик между «Satellite» и «Hosting» в обе стороны.  
Заметка для себя: проверить, стоит ли режим «Drop» или «Accept».  
USG отвалился, не могу его вернуть в сеть. SSH тоже не работает.  
И правильно, ведь я блокировал LANы «Satellite» и «Hosting» на «LAN Local».  
Вроде всё остальное работает (интернет, VPN, проброс портов и так далее), как и раньше, только вот доступ к USG отсутствует.  
В общем... сейчас еду на «Main», чтобы сделать сброс. 🙁 *рукалицо*
 
 
 
#6
11.02.2017 01:25:00
Поскольку у вашего «главного» роутера есть маршруты и для «hosting», и для «satellite», вам стоит прописать статические маршруты на обоих споках, указывая противоположные подсети на IP VPN-коннектора.

Например:  
Satellite: 10.0.0.1/24  
Main: 10.10.0.1/24  
Hosting: 10.20.0.1/24  

Статический маршрут для Satellite:  
Сеть: 10.20.0.0/24  
Следующий хоп: 10.10.0.1  
Метрика: 5 (или любая удобная для вас)

Статический маршрут для Hosting:  
Сеть: 10.0.0.0/24  
Следующий хоп: 10.10.0.1  
Метрика: 5 (или любая удобная для вас)

Главному роутеру, скорее всего, ничего делать не надо, ведь обе эти внутренние сети уже будут в его таблице маршрутизации, если настройки VPN корректны.

Дайте знать, если после этого останутся проблемы.
 
 
 
#7
11.02.2017 00:07:00
У меня эта схема работает, но у меня «Satellite» подключается к второму VPN-серверу (Synology NAS) в локальной сети за маршрутизатором «Main». Думаю, это работает потому, что пакеты с Satellite выглядят так, будто они идут от NAS, то есть в пределах адресного пространства основной сети LAN. Я бы хотел заставить это работать без второго VPN-сервера, но пока не разгадал, как. Не уверен, в чем дело — в маршрутизации, файрволе или NAT.
 
 
 
#8
10.02.2017 09:30:00
Спасибо

@Jparrish  
Я изучу этот подход.

@trent_bob  
У меня есть DNS-сервер на главном сайте, настроенный в «Network», в «DHCP Name server» на спутниковом сайте. Так что с разрешением имен проблем нет, но «только» нет потока данных со спутника через главный на хостинг.
 
 
 
#9
09.02.2017 09:57:00
Ты никогда не получишь ответа. Я уже два месяца пытаюсь выяснить, почему не могу разрешить DNS-имена с обеих сторон моего туннеля... Ответы в чате просто нелепые, а на форумах вообще никакой ясности.
 
 
 
#10
09.02.2017 00:33:00
У меня такая же проблема. Я провёл весь день в переписке с поддержкой. Единственная идея, которая у меня осталась после шести часов чата и TeamViewer — возможно, отключить NAT в UniFi Security Gateway?
 
 
 
#11
08.02.2017 18:31:00
Хмм, тут особо помочь нечем. 🙁
 
 
 
Страницы: 1
Читают тему (гостей: 1)