Также - если вы не управляете радиостанциями AirMAX, то вам действительно стоит поработать с теми, кто их управляет, чтобы получить необходимую связь. Что-то в этом не совсем правильно ощущается, но я предложил практически всё, что мог, раньше. Подобным образом, для того чтобы ваши локальные устройства могли общаться с удаленными устройствами, упомянутыми в вашем OP, вам потребуется сотрудничество с теми, кто управляет этим (все еще не идентифицированным) удаленным шлюзом.

Я прекрасно понимаю, что статическая маршрутизация здесь не решение – все устройства airmax будут отвечать на свой шлюз по умолчанию, а мне нужно получить к ним доступ так, как будто я нахожусь в их L2 сети. В этом вся проблема: когда airmax-соединение пропадает, я не могу связаться с их шлюзом, потому что он находится через эту линию связи. Мне нужно получить доступ к устройствам airmax с LAN на UDM для устранения неполадок. Я думаю, можно ли использовать NAT, чтобы это решить? Вы знакомы с использованием NAT для соединения двух L2 сетей? У меня запущен Wireshark на eth0 и eth1, и я не вижу никаких совпадений с правилами, которые я пытаюсь настроить. Я хочу, чтобы все пакеты с eth1 (192.168.93.0/24) переписывали свой источник в 10.95.254.253 и отправлялись через eth0. Звучит безумно, но это вообще возможно?

Ты всё ещё толком не ответил на мой вопрос о том, откуда твои "устройства". В своём заявлении ты упоминаешь "сеть устройств" и "собственный шлюз". Я предположил, что, поскольку ты используешь AirMAX, удаленный конец находится на значительном расстоянии, но это не имеет значения. Важна часть "собственный шлюз" – это совершенно точно. Каждый шлюз в этом сценарии важен.

Прежде чем ты продолжишь вносить произвольные изменения, тебе нужно спроектировать, что ты хочешь получить. У тебя есть несколько шлюзов в разных местах. Все они должны быть правильно настроены.

Ты также упоминаешь: В каком направлении "вниз по потоку"? Нам не хватает части твоей топологии, что критически важно для помощи. Пожалуйста, добавь их в свою схему для ясности.

Эти устройства получают доступ в интернет, или они работают только внутри локальной сети? Если да, то какой шлюз для выхода в интернет?

У тебя должен быть один локальный роутер. Ты можешь использовать либо свой ER, либо свой UDM, но попытка использовать оба таким образом становится очень сложной.

Если у тебя нет какой-либо формы балансировки нагрузки, я не уверен в цели наличия нескольких WAN-каналов (я должен был уточнить, что я использовал балансировку нагрузки в общем смысле, и она включает в себя переключение при отказе).

Как я и предлагал выше, удали лишние ссылки на UDM. Судя по тому, что ты описал, они не нужны, и это сделает твою конфигурацию намного сложнее, чем нужно. Да, ты должен настроить резервный путь на своем ER. Это довольно стандартно, и ты можешь создать конфигурацию балансировки нагрузки только при отказе, если это твоё намерение.

Исходя из того, что ты задокументировал здесь:

Твой ER должен быть DHCP-сервером для всех локальных подсетей.

Твой ER будет иметь конфигурацию балансировки нагрузки (даже только при отказе) для твоих резервных WAN-каналов.

Если у тебя есть устройства в другой подсети (не настроенные на твоём ER напрямую) через AirMAX-соединение:

Ты добавишь статический маршрут к этой подсети через этот VIF на своём ER, указав в качестве следующего хопа шлюз на другой стороне беспроводного соединения, и исключишь эту сеть из балансировки нагрузки.

Удалённый шлюз (который ты пока не определил) для "устройств", упомянутых в твоём сообщении, должен иметь статический маршрут для всех подсетей, настроенных на твоём ER, используя твой ER в качестве следующего хопа.

Это при условии, что устройства на удаленном конце беспроводного соединения используют свой локальный шлюз для выхода в интернет на другой стороне AirMAX-соединения.

Это также при условии, что тебе не нужно резервное WAN для этих устройств на удаленном конце.

Если удалённый, ещё не идентифицированный шлюз предоставляет подключение к интернету для устройств на этой стороне соединения, ты должен настроить маршруты на этом шлюзе для подсетей на твоей локальной стороне. Если этого не сделать, то у тебя никогда не будет подключения к этим устройствам из твоей локальной сети.

Полная топология критически важна. Пожалуйста, не пропускай части. Правильная маршрутизация требует, чтобы все шлюзы были настроены должным образом, поскольку трафик должен проходить в обоих направлениях. Пожалуйста, будь последовательным в своих названиях/маркировках:

В твоей схеме ты подписываешь WAN1 как Starlink.

В твоём описании ты подписываешь WAN2 как Starlink.

Если ты хочешь ограничить подключение, то следующим шагом будет настройка брандмауэра. Где/как ты настраиваешь любой брандмауэр полностью зависит от выбранной топологии.

Если ты хочешь произвольно отключать свой ER и не терять подключение, то тебе следует сделать UDM шлюзом для всех локальных сетей и исключить ER. Я не думаю, что понимаю необходимость двух роутеров здесь, поэтому возможно следующий вопрос таков:

Какова цель использования ER здесь? Я думаю, что будет проще использовать только UDM.

У UDM есть 2 WAN, но нет балансировщика нагрузки. AirMax шлюз находится на большом количестве беспроводных каналов связи. Когда один из беспроводных каналов выходит из строя, шлюз становится недоступен для устройств ниже по потоку, поэтому возможность устранения неполадок из сети UDM LAN очень важна. Edgeswitch имеет IP-адрес 10.95.254.50 и находится в VLAN254. Это единственный интерфейс на этом свитче. Весь трафик, проходящий через него, — это L2. Да. Я подозреваю, что да, что указывает на возможное использование NAT. Да, один из них — WAN. Другой — это канал, который я пытаюсь настроить статическим маршрутом. Я могу установить 2 edgerouter'а, если это упростит задачу. WAN1 — это публичный шлюз по умолчанию, расположенный далеко выше сети AirMax и не контролируемый мной. WAN2 — это Starlink шлюз, edgerouter на схеме. UDM предназначен для предоставления площадке сервисы Unifi, такие как Wi-Fi и Protect. Если я их удалю, у меня больше не будет резервирования на UDM, но я думаю, что могу сделать резервирование на edgerouter'е и это позволит ему работать через одно WAN-соединение к UDM. Основная причина, по которой я этого не делаю, заключается в том, что это позволяет выключить и отключить edgerouter, и UDM перейдет на WAN, предоставляемый edgeswitch. Итак, без внесения кучи изменений, может ли edgerouter делать двойную маршрутизацию? Кажется, что это невозможно каждый раз, когда я пытаюсь что-то подобное... одно для Starlink с NAT, а другое — входящее/исходящее через eth0/1. Вот таблица маршрутизации без добавленных маршрутов: И интерфейсы здесь: Если я отключу интерфейсы Starlink eth8/9, это все равно не будет маршрутизировать трафик так, как я пытаюсь из сети UDM LAN. Я пробовал несколько статических маршрутов, но безрезультатно, и именно в этой части мне нужна помощь. Схема для справки:

Я вижу, что @Brailyn создал вторую публикацию на эту тему, но упустил ключевые моменты топологии там: EdgeMAX маршрутизация между двумя сетями.

То, что описал Marc выше, применимо.

Итак, если следовать этим двум потокам:

*   ER – это периферийный шлюз, подключенный к интернету.
*   UDM подключен к ER.
*   UDM предназначен только для использования в качестве моста (не маршрутизатора/шлюза) и имеет только одну подсеть, настроенную.
*   Существует сторонний шлюз, подключенный к UDM (тот, к которому подключены ваши устройства).
*   Вы хотите, чтобы устройства, находящиеся в подсети, подключенной к вашему ER, могли общаться с устройствами, находящимися за вашим сторонним шлюзом.

Как я отметил в другом потоке (это то же самое, что отметил @marcg1 выше): Вашим downstream-маршрутизаторам не нужны явные маршруты к вашим upstream-маршрутизаторам: одного маршрута по умолчанию к upstream-маршрутизатору от downstream-маршрутизатора вполне достаточно.

Вашим upstream-маршрутизаторам *нужны* явные маршруты для любых подсетей, находящихся за downstream-маршрутизаторами. Здесь топология имеет решающее значение для описания. "Downstream" маршрутизатор находится дальше от интернета, а upstream - ближе. Ваш ER - это upstream, а ваш сторонний шлюз для ваших устройств - это downstream.

Как я отметил в другом потоке: вам следует удалить две статические маршруты, которые указывают на самого себя. Ваш ER уже знает, как маршрутизировать к подсетям, непосредственно подключенным.

Вам следует изменить порт вашего ER, подключенный к UDM, чтобы он был статической конфигурацией, а не DHCP.

Если ваш UDM не настроен в качестве шлюза (вы указали, что этого не хотите), никакая конфигурация на вашем UDM не требуется.

Обозначенные устройства должны использовать сторонний шлюз в качестве своего маршрута по умолчанию.

Этот сторонний шлюз должен использовать адрес ER eth1 в качестве своего маршрута по умолчанию.

Для подсетей на вашем стороннем шлюзе вам нужно добавить статический маршрут на вашем ER, используя этот сторонний шлюз в качестве следующего хопа:
`set protocols static route <private_client_subnet>/<size> next-hop <third-party-gatway>`

У вас нет настроенного брандмауэра на вашем ER eth1 (подключенном к вашему UDM), поэтому ничего менять не нужно. Если вы хотите ограничить устройства, находящиеся за этим сторонним шлюзом, вам следует добавить конфигурацию брандмауэра на вашем eth1 на вашем ER. Это можно сделать отдельно, как только вы убедитесь, что маршрутизация работает.

Если я неправильно понял вашу топологию, пожалуйста, опубликуйте небольшую схему, идентифицирующую, где у вас настроены подсети.

Да, это именно то, что мне было нужно знать! Может, подскажешь, как настроить статический маршрут/файрвол на стороне Edgemax? Когда я запускаю traceroute из UDM lan, видно, что используется новый IP-адрес интерфейса (то есть маршрут работает?), но после первого пакета ответа больше нет.