Настройка запроса: конфигурация NAT

Настройка запроса: конфигурация NAT, UniFi Network

msulc69

Guest

21.12.2016 11:42:00

Привет, нужна помощь. У меня USG v3, управляется через Controller v5.3.8, установленный на моём сервере. Нужно настроить несколько вещей, но я совсем не понимаю, как именно.

Ситуация такая:
вся моя сеть работает на 192.168.245.0/24, но условно разбита на 192.168.245.0/25 и 192.168.245.128/25.
WAN-шлюз — 192.168.100.2, он подключён к 192.168.100.1 (это основной роутер в компании, владельцев).
Все устройства в 245.0/24 видят друг друга, НО мне надо настроить USG так, чтобы устройства с адресами из 245.0/25 напрямую пробрасывались на 192.168.100.1 без NAT, чтобы основной роутер видел именно эти адреса, а не только основной адрес моего USG.

Я знаком с базовыми командами CLI, но NAT и маршрутизация через командную строку — это для меня новое.
Кто-нибудь может дать пошаговую подсказку, как это сделать? Или может есть более простой способ через Controller 5.3.8?

Единственное условие — хочу оставить сеть 245.128/25 под NAT, чтобы основной роутер не видел, какие конкретно устройства и к каким портам или сайтам обращаются.

UI-Team Guest	#2 06.01.2017 19:36:00 Это работает и для трафика между внутренними сетями. Сейчас оно не может работать с бриджингом, потому что это обходит аппаратное ускорение, а аппаратное ускорение обходит DPI.

OvrMyHed

Guest

06.01.2017 16:16:00

Нет, я не могу настроить его как роутер между. В смысле, мог бы, но это было так сложно и нервозно, что я и клиент в итоге сдались (см. мой пост USG или POS). Это большая сеть, да ещё и уже довольно старая. Там сотни правил, маршрутов, PF и прочего. Ещё у них куча серверов на месте, которым нужна особая настройка NAT. Им нужно, чтобы USG только мониторил трафик. Если Wireshark можно запускать виртуально, я не понимаю, почему UBNT не может сделать из USG и CK виртуальный инструмент. По сути, они так и делают с «elite». Только я отказываюсь платить миллион долларов в год за это.

jongoldsz

Guest

06.01.2017 16:04:00

Мне дали задачу настроить USG так, чтобы он маршрутизировал трафик между двумя (или более) сетями через гигабитные Ethernet-интерфейсы без NAT. Я ещё не проверял, так как контроллер версии V5.5.x пока нестабильный релиз. Не думаю, что DPI можно использовать без того, чтобы USG выступал в роли маршрутизатора, так как, по моему мнению, трафик должен проходить через него, чтобы быть идентифицированным. Но можно настроить его как маршрутизатор между вашим роутером Mikrotik и вашей LAN. Правда, не уверен, будет ли функция DPI работать между любыми двумя интерфейсами или она рассчитана только на трафик между WAN и LAN.

@UBNT-cmb

— Функция DPI работает, если маршрутизировать трафик между интерфейсами LAN 1 и LAN 2 (VOIP) на USG? Или она работает только, когда трафик идёт между LAN и WAN?

OvrMyHed

Guest

06.01.2017 15:43:00

Небольшое отступление. Ты хочешь сказать, что если я подключу основной роутер к LAN1, а нижестоящий свитч — к LAN2 (voip), то USG будет работать как прозрачный мост, при этом продолжая мониторить трафик? У меня есть роутер Mikrotik, который отлично настроен для управления всей сетью, но я хочу, чтобы USG контролировал мою сеть Unifi. Однако два роутера в сети — а с учетом количества правил, которые пришлось бы прописывать через CLI в USG, — это настоящий кошмар. Я ищу способ, чтобы Mikrotik занимался всем маршрутизированием, а USG просто отслеживал трафик и работал с DPI. Пожалуйста, скажи, что именно это ты и имеешь в виду.

jongoldsz

Guest

06.01.2017 14:08:00

Я бы подождал, пока версия 5.5.x не станет стабильной. Сейчас она отмечена как нестабильная, так как это текущая ветка с новыми функциями. Версия 5.4.x, похоже, выйдет где-то в этом месяце, а 5.5.x — после неё. Настроить это должно быть относительно просто. Создайте новую сеть (USG должен получить IP в той же подсети, что и основной роутер, например 192.168.100.2) в Unifi Controller. Отключите DHCP на новой сети. Привяжите её к порту LAN 2 (VOIP). Создайте статический маршрут (0.0.0.0), который направляет весь трафик на основной роутер (192.168.100.1). На основном роутере нужно создать статический маршрут (192.168.245.x) к вашему USG (192.168.100.2). Если я не упускаю чего-то очевидного, этого должно хватить, чтобы ваш USG маршрутизировал трафик между локальной сетью и корпоративной сетью без NAT.

clarksn Guest	#7 05.01.2017 21:02:00 Я уже давно мучаюсь с тем, что не хочу NAT, но при этом хочу DPI (или чтобы VOIP был в WAN с выбором WAN по политике). Это интересная идея, о которой я раньше не думал. Постараюсь попробовать в течение дня-двух...

msulc69

Guest

05.01.2017 14:07:00

Это действительно звучит как решение... Можешь помочь мне, как именно это настроить? Я имею в виду — если я знаю, что верхний роутер с 192.168.100.1, мой USG с 192.168.100.2, а IP-адреса, на которые я хочу отправлять напрямую, находятся в диапазоне 192.168.245.0/25. К тому же, можно ли это сделать только между WAN и LAN портами?

jongoldsz

Guest

05.01.2017 14:01:00

В контроллере версии 5.5.1 можно настроить VOIP-порт USG и использовать его для настройки маршрутизации трафика между вашим внешним соединением и роутером компании, а также вашей локальной сетью, без NAT. Что касается одновременного использования NAT для одной подсети и IP-маршрутизации для другой — честно говоря, я не уверен, как это настроить. Такое точно не реализовано в интерфейсе Unifi Controller. Наверное, лучше задать этот вопрос на форумах Edgerouter/Edgemax, там могут подсказать набор CLI-команд, который позволит это сделать. Либо это может быть доступно в графическом интерфейсе Edgerouter.

msulc69 Guest	#10 05.01.2017 12:39:00 Правда никто? Тут столько народу... и никто не сталкивался с отсутствием этой функции в USG?

Читают тему (гостей: 1)