Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Клиент WireGuard — менять зону брандмауэра?, UniFi Network
 
#1
13.05.2025 22:23:00
Похоже, WireGuard-клиент по умолчанию хочет жить в "External" зоне. Я использую его для создания VPN-соединения между сайтами (второй конец пока не настроен с Ubiquiti gateway). Я смог добавить статический маршрут, чтобы трафик на другой сайт шел через соединение, но трафик в обратном направлении блокируется. Судя по всему, проблема в том, что интерфейс WG Client находится в "External" зоне. Я хочу это изменить, но в UI нет ничего, что позволило бы это сделать.

Так я вынужден добавить правило брандмауэра, чтобы разрешить трафик из зоны "External" с /24 сети другого сайта в "Internal" зону. Это мне кажется какой-то ерунда, потому что больше нет ничего, что отличает трафик, приходящий по WAN, от трафика, приходящего через VPN. Есть ли какой-то способ переместить интерфейс WG Client хотя бы в VPN зону?
 
 
 
#2
23.05.2025 13:21:00
Мне ничего особенного делать не пришлось. Часть спецификации клиента в конфигурации сервера включает в себя подсеть клиента, и этого достаточно, чтобы маршрут был добавлен при подключении.
 
 
 
#3
14.05.2025 21:14:00
@nsayer да, это гораздо лучше. Какую маршрутизацию ты добавил на стороне Unifi, чтобы пропускать трафик с Unifi LAN на pfsense/remote LAN? Когда я настраиваю Unifi как "сервер", я могу маршрутизировать трафик с удаленной стороны обратно на Unifi, но теперь не могу маршрутизировать с Unifi на удаленную.
 
 
 
#4
14.05.2025 17:41:00
Да, но это плохо. Поддельный трафик с адресом источника из вашей локальной сети WG может напрямую прийти на порт WAN и быть пропущен. В итоге я поменял "направление" и сделал так, чтобы другой хост был клиентом, а Ubiquiti – сервером. Это решило проблему, поскольку теперь интерфейс site-to-site хотя бы находится в VPN-зоне. Но на мой взгляд, это всё равно проблема.
 
 
 
#5
14.05.2025 11:40:00
Привет, nsayer! Я разобрался с этим, используя новые правила брандмауэра в unifi network 9.1.x. Тебе нужно добавить пользовательское правило в внешней зоне, которое позволит только удалённой подсети получить доступ к LAN (по умолчанию) зоне или к другим зонам, которые тебе нужны. И тогда я смог пропинговать сеть unifi с моей удаленной сети, работающей на pfsense. Помни, IP-адрес шлюза (внутренний и внешний) - это его собственная зона. Так что тебе нужно второе правило, если ты хочешь иметь возможность получить доступ к веб-порталу брандмауэра unifi с сети, где работает брандмауэр pfsense. Надеюсь, это тебе поможет.
 
 
 
#6
14.05.2025 11:30:00
Привет, nsayer. У меня та же самая проблема. Если кто-нибудь знает, возможно ли изменить настройки зоны или брандмауэра в конфигурации клиента WireGuard, буду очень благодарен, если кто-нибудь поделится информацией. У меня точно такая же настройка, как у nsayer. На другом конце – WireGuard на pfSense.
 
 
 
Страницы: 1
Читают тему (гостей: 1)