Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
USG — можно ли навсегда отключить WAN-файрвол и NAT MASQ?, UniFi Network
 
#1
27.05.2016 13:29:00
Можно ли с помощью файла config.gateway.json отключить WAN-файрвол и NAT MASQ? У меня есть USG и ERX, но мне нужен более высокий пропускной канал QoS от ERX (~150 Мбит/с на ERX против ~65 Мбит/с на USG), поэтому я бы хотел выключить NAT на USG, а также WAN-файрвол, и использовать ERX как граничный роутер, а USG — как шлюз для моих устройств. На ERX уже есть правила QoS и очереди на основе внутренних IP, а также настроено множество правил переадресации портов.
 
 
 
#2
09.03.2017 09:36:00
Привет, форум! Отключение NAT у меня на сайте не работает, и я в растерянности. Моя среда: мой USG находится в «середине» частной сети. WAN: 10.4.0.3/24 LAN1: 10.4.1.0/24 LAN2: 10.4.2.0/24 и так далее... Что я сделал: отключил NAT через CLI и JSON, создал правила файервола, разрешающие всё для WAN_IN и WAN_LOCAL. (Нужно ли ещё WAN_OUT?) Что проверял: Wireshark на интерфейсе WAN — вижу, что NAT действительно отключён. Логирование правила WAN_IN — вижу, что ответы с WAN приходят. Моя проблема: пакеты не доходят до клиентов. Похоже, USG не маршрутизирует трафик с WAN на LAN. Есть идеи? Спасибо, Foxy
 
 
 
#3
13.02.2017 17:36:00
Рад, что не продал свои старые EdgeRouter’ы на eBay. Кто-то на форуме дал мне простую инструкцию, как обойти NAT на ER-8-Pro, чтобы раздавать внешние IP-адреса. https://community.ui.com/questions/81f63b2e-b9ad-4fc9-b554-4dff2488c52c#answer/44cb4829-c28d-4a54-b539-f402ea851d72 Уже около двух недель работает без сбоев, при этом NAT для внутренних VLAN’ов остался.
 
 
 
#4
13.02.2017 15:41:00
Я крайне разочарован тем, что USG не поддерживает нативное отключение NAT, из-за чего это устройство можно использовать только в небольших сетях с широкополосным подключением. Теперь это меняет мои планы по развертыванию!
 
 
 
#5
28.01.2017 12:56:00
Это всё, конечно, красиво и хорошо, но ни на ER-8-pro, ни на USG я не могу найти ответ, как это сделать, а для оборудования провайдерского или корпоративного уровня это должно быть стандартной опцией с самого начала. Это железо используется WISP’ами, и никто не скажет, что они работают только с одним внешним IP и раздачей клиентам внутренних IP с постоянными запросами на проброс портов. Мне отвечают просто «выключите NAT», но это не так просто сделать ни на одном из роутеров. Должно быть простое решение — как отключить NAT для VLAN или вообще полностью, чтобы можно было раздавать внешние IP через DHCP. На обоих устройствах уже годами говорят: «Это в планах», но я не видел даже малейших изменений. Предлагать присоединяться к бета-тестированию — это вообще бесполезно, ведь там нет никакой реальной информации, как это сделать с CLI или через веб-интерфейс ни на USG, ни на ER-8-pro. Почему мне приходится брать Mikrotik CCR, чтобы решить эту задачу? Почему Ubiquiti не может сделать такую простую функцию, которая уже много лет есть у всех остальных? Всё, что мне нужно — простая инструкция, хотя бы в CLI или через дашборд, чтобы перестать путаться с разными производителями.
 
 
 
#6
28.01.2017 12:41:00
В последнем обновлении дорожной карты указано, что они внедряют мульти-WAN IP-маршрутизацию. Ожидаемое время выхода — примерно через 6 месяцев. Причина, почему это занимает так много времени, в том, что это не просто включить переключатель и сразу всё работает. Потребуется серьёзная разработка и тестирование. Если хотите получить функцию раньше, присоединяйтесь к бета-сообществу — как только функция станет доступна, вы сможете её опробовать.
 
 
 
#7
28.01.2017 12:20:00
Забавно, как никто толком не знает, как поставить USG или граничный маршрутизатор в прозрачный режим... Или это просто охраняется как государственная тайна? Я имею в виду, раз это всё для корпоративного сегмента, как же так, что почти невозможно прокинуть через эти устройства /24, чтобы раздавать клиенту внешние IP? Вся эта тема как Бойцовский клуб... Никто не говорит об этом, а я уверен, что WISPы используют это каждый день. Кто-нибудь, проясните ситуацию, пожалуйста.
 
 
 
#8
05.08.2016 20:13:00
Я видел это и проголосовал за, собственно, именно поэтому и зарегистрировался. Мне всё ещё интересно, реально ли это работает и что конкретно оно заменяет в разделе файерволла.

Мне кажется, часть путаницы связана с объяснением config.gateway.json (UniFi — как дальше настраивать конфигурацию USG с помощью config.gateway.json).
Вот как я понял это объяснение:

1. Внесите изменения через CLI. (Сделано)
2. Экспортируйте конфигурацию командой: mca-ctrl –t dump-cfg (Сделано)
3. Скопируйте только то, что изменили на шаге 1, в папку site на контроллере (Сделано)
4. Не берите всё подряд, а ВЗЯТЬ ВСЮ СЕКЦИЮ… и оформить это как часть этой секции? (Что за фигня?) «Вы должны помнить об этом, чтобы включить ВСЕ элементы, а не только новые, которые хотите добавить.»

Всё было понятно до конца… Понимаю, что происходит замена, но что именно считается секцией? В этом примере — это секция service, nat, rule, 1, destination или всё вместе? Насколько «вверх» нужно захватывать? Если я обновляю NAT, а это в «секции services», надо ли мне включать все остальные настройки в service, которые хочу сохранить, например DHCP или DNS? Если я хочу обновить только NAT в service, заменит ли это всю секцию service целиком?

{  
 "service": {  
   "nat": {  
     "rule": {  
       "1": {  
         "destination": {  
           "port": "53"  
         },  
         "inbound-interface": "eth0",  
         "inside-address": {  
           "address": "10.0.0.1",  
           "port": "53"  
         },  
         "protocol": "tcp_udp",  
         "type": "destination"  
       }  
     }  
   }  
 }  
}

По умолчанию в моём USG около 445 строк конфигурации файерволла — есть ли способ полностью её отключить? Помогает ли с этим данная JSON-конфигурация?
 
 
 
#9
05.08.2016 19:28:00
Есть запрос на такую функцию. Терпите. Точного срока не скажу. Пока её нет ни в бета-, ни в альфа-версии, так что, возможно, придётся подождать.
 
 
 
#10
05.08.2016 19:00:00
Это отключит фаервол и NAT на USG? Заменит ли это полностью весь раздел «firewall»? Я хочу убрать всё, что связано с преднастроенным фаерволом и NAT на USG, и перенести эти функции на EdgeRouter X. Edge-X будет отвечать за фаервол и NAT, а USG пусть только радует глаз на дашборде. Мне не сложно работать с CLI, на самом деле я бы не стал доверять фаерволу без CLI. Но вот этот ручной копипаст JSON — это уже что-то странное. Особенно после нескольких дней тут, когда читаешь, что одни изменения могут всё сломать, а другие — нормально... И никто толком не знает, какие именно изменения могут привести к поломке. Так что, простите за разглагольствования — что конкретно меняет эта штука в конфигурации? Отключит ли она фаервол и NAT? Фактически переведёт ли USG в прозрачный режим?
 
 
 
Страницы: 1
Читают тему (гостей: 1)