Запрос новой функции: DPI, IDS/IPS и маршрутизация на основе политик для VPN-клиентов. Привет всем! На днях подумал, как круто было бы добавить поддержку DPI (Deep Packet Inspection), IDS/IPS (Intrusion Detection System/Intrusion Prevention System) и ма

RSS

Запрос новой функции: DPI, IDS/IPS и маршрутизация на основе политик для VPN-клиентов. Привет всем! На днях подумал, как круто было бы добавить поддержку DPI (Deep Packet Inspection), IDS/IPS (Intrusion Detection System/Intrusion Prevention System) и ма, site-manager

DefenderLLC

Guest

14.09.2024 02:11:00

На дворе 2024 год, а мы до сих пор не можем делать DPI, IDS/IPS или маршрутизацию на основе политик для VPN-клиентов. Это можно делать с другими брендами файрволов, но не с UniFi. Например, у меня EFG настроен как WireGuard Server, и хотя у каждого клиента свои сертификаты и ключи, UniFi хранит эти сертификаты/ключи в своей базе данных, так что он мог бы относиться к VPN-клиентам как к любому другому VLAN. То же самое с маршрутизацией на основе политик. Обе эти вещи можно сделать очень легко с pfSense. Чтобы углубиться для тех из нас, у кого есть EFG, клиентские устройства с установленным SSL-сертификатом EFG также должны иметь возможность дешифровать и проверять свой трафик удаленно. Это не что-то новое, но было бы неплохо иметь возможность отслеживать и контролировать VPN-клиентов так же, как если бы они были на месте. Просто надеюсь, что однажды мы увидим эту функциональность. Спасибо.

bikoo Guest	#2 22.07.2025 06:03:00 Больше не работает после последних обновлений, я настроил PiHole для VPN-клиента

markladage Guest	#3 13.06.2025 09:28:00 @niekniek89 Спасибо за ответ, я уже читал этот пост, так что, видимо, это такой обходной путь, пока они не реализуют это нормально.

niekniek89 Guest	#4 07.06.2025 14:26:00 @markladage https://community.ui.com/questions/Traffic-Management-Block-Internet-rule-is-blocking-203-0-113-2/e8431528-90cf-4d53-a21d-c92faa501962#answer/ea462cef-492c-4c06-bdac-c4bd3c31e19e

markladage

Guest

13.05.2025 19:55:00

Может кто-нибудь, пожалуйста, объяснит, что это за опция 203.0.113.2? Обычно я не могу подключить свои клиенты WG через блокировку рекламы на роутере. Но с 203.0.113.2 всё работает. Документации по этому адресу найти не могу, только знаю, что это адрес для тестовых целей. Извините за мой английский.

DefenderLLC Guest	#6 23.04.2025 19:26:00 Похоже, мне нужно обновить этот пост и написать: "Настало 2025 год..."

Robi997 Guest	#7 23.04.2025 19:20:00 Я вообще не понимаю, почему Ubiquiti не может реализовать эти базовые функции. Mikrotik или даже Firewalla без проблем справляются с подобным.

bikoo Guest	#8 18.03.2025 12:36:00 Полностью согласен! Я только что нашёл решение проблемы с DNS для блокировки рекламы на текущий момент. Нам однозначно нужно посмотреть VPN-клиент на VLAN, чтобы иметь полный контроль, как ты и говорил.

DefenderLLC

Guest

18.03.2025 12:19:00

Да, можно, но этого недостаточно. Правила App/firewall, IDS/IPS и маршрутизация на основе политик не работают для VPN-клиентов так, как это делает практически любой другой бренд файрвола. Это происходит потому, что VPN-клиенты не находятся на определенной VLAN, как все остальные клиенты. Я думаю, они сейчас над этим работают, теперь, когда появилась поддержка ZBF, но кто знает, что там сейчас на самом деле.

bikoo Guest	#10 18.03.2025 12:08:00 Можешь использовать этот DNS (203.0.113.2) для клиентов WG.

abcpart Guest	#11 14.02.2025 14:12:00 Выкладываю это сюда тоже, думаю, у многих пользователей та же проблема.

kaze06 Guest	#12 22.01.2025 13:34:00 Поднимаю это ради собственного просвещения; отсутствие возможности маршрутизации трафика клиента PBR через VPN - огромный пробел...

DefenderLLC Guest	#13 16.01.2025 21:45:00 Сейчас 2025 год, а все эти проблемы никуда не делись.

Читают тему (гостей: 1)