Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
UniFi USG/ PPoE/ Статический IP, UniFi Network
 
#1
17.04.2017 12:53:00
Ребята, интересно, сталкивался ли кто-то с этим... Местный провайдер (eircom) в офисе выдает модем в режиме моста. Текущий файервол (Juniper SSG-20) подключается через PPoE и у него прописан статический IP-адрес. В GUI, похоже, нет возможности установить статический IP для WAN-подключения USG. Надеюсь, я чего-то не упускаю... Я, в принципе, ожидаю, что меня отправят в конфигурационный файл на cloud key, чтобы там добавить какие-то волшебные инструкции! Но могу и ошибаться. Заранее спасибо за советы. Том
 
 
 
#2
18.03.2020 15:47:00
@mjb Привет, дружище! Хотел спросить, не мог бы ты посмотреть мою тему и сказать, может ли то, что я пытаюсь сделать, работать с тем, что ты здесь описал? Я пробовал сделать именно так, как ты сказал (настроить статический маршрут для подсети), но мои устройства не могут выйти в интернет, когда им назначают публичный IP. https://community.ui.com/questions/USG-Pass-external-IP-to-device-without-NAT/1312215d-cd17-4f20-9b85-9f6bb7ad6e2c
 
 
 
#3
18.04.2019 23:20:00
Спасибо, mjb, ты гений. Я уже давно пытаюсь заставить это работать и всё время пропускал момент с тем, как настроить статические адреса для моего PPPoE-подключения. Теперь очень доволен.
 
 
 
#4
22.08.2018 10:24:00
Если у внутреннего хоста приватный IP, то да. Если у вас один из публичных IP, которые вы статически маршрутизируете, то нет.
 
 
 
#5
21.08.2018 07:10:00
@mjb

Я тут новичок, так что извините, если вопрос глупый, но чтобы сделать статическую маршрутизацию для публичного IP, мне всё равно нужна DNAT-правила вместе с маршрутом, который вводится через UI? Спасибо 😀
 
 
 
#6
09.08.2018 05:45:00
Огромное-преогромное спасибо, mjb!
 
 
 
#7
15.09.2017 05:10:00
Сработало — огромное спасибо. Джеймс
 
 
 
#8
15.09.2017 00:55:00
На самом деле, я только что писал об этом в другой теме... https://community.ui.com/questions/9186d5a3-e41b-4df4-a791-b26547b99daf [редактирую: но, похоже, это сообщение удаляют, так что вот оно здесь]
Да и нет... но вот кусок из моего config.gateway.json, чтобы помочь начать работу:

{
   "service": {
       "nat": {
           "rule": {
               "1": {
                   "description": "Server1",
                   "destination": {
                       "group": {
                           "address-group": "EXT-SERVER1"
                       }
                   },
                   "inbound-interface": "pppoe0",
                   "inside-address": {
                       "address": "internal.ip.address"
                   },
                   "log": "disable",
                   "protocol": "all",
                   "type": "destination"
               },
               "5000": {
                   "description": "Server1",
                   "log": "disable",
                   "outbound-interface": "pppoe0",
                   "outside-address": {
                       "address": "external.ip.address"
                   },
                   "protocol": "all",
                   "source": {
                       "group": {
                           "address-group": "LAN-SERVER1"
                       }
                   },
                   "type": "source"
               }
           }
       }
   }
}

Примечания:  
Увеличивайте номера правил для каждого направления NAT — начиная с 1 для DNAT, начиная с 5000 для SNAT.  
Отмеченное красным нужно проверить или заменить.  
Я использую группы адресов для назначения DNAT и исходных адресов SNAT, эти группы задаются через UI. Если хотите указать адреса напрямую — оставляю это как задание для вас.  
Моя конвенция:  
LAN-* — внутренний адрес  
EXT-* — внешний адрес  
Замените внутренние и внешние IP-адреса в параметрах inside-address и outside-address (к сожалению, здесь нельзя использовать группы адресов).  
У меня WAN через pppoe, возможно, у вас по-другому.  
У меня есть статический интерфейсный маршрут для публичного диапазона IP, назначенный на LAN-интерфейс. Благодаря этому адреса не добавляются напрямую в роутер, а по ним идёт маршрутизация — и я могу выбрать не делать NAT и фактически иметь эти IP на устройствах, если захочу.  
Правила файрвола добавлены, чтобы выборочно разрешать трафик к/от внутренних хостов через UI.  
Статический интерфейсный маршрут задаётся через UI, он выглядит так:
 
 
 
#9
13.09.2017 22:33:00
mjb — «У меня тоже есть /29, который направлен ко мне. Я добавил статический маршрутизируемый маршрут для этой подсети на LAN-интерфейсе. Затем, используя config.gateway.json, настраиваю правила NAT для этих маршрутизируемых IP на внутренний LAN-IP соответствующих хостов.» Можешь рассказать поподробнее, как именно это сделать? У меня никак не получается. Спасибо, Джеймс
 
 
 
#10
03.05.2017 22:17:00
Возможность задать статический IP на WAN-интерфейсе всё ещё полезна в некоторых случаях. У меня похожая конфигурация, но избавиться от устройства на WAN-порту не получается — у меня VDSL-маршрутизатор, настроенный в режиме моста (Draytek Vigor 130).  
Мой USG настроен с PPPoE WAN, который получает статический IP от провайдера. Тем не менее, удобно иметь возможность через IPv4 обращаться к Draytek по WAN-порту, чтобы периодически проверять статистику соединения, детали и так далее. Для этого я добавил статическую запись адреса в config.gateway.json для eth0, и это отлично работает. (При этом на Draytek тоже должен быть задан статический IP из того же диапазона, с маршрутом для моей LAN подсети, где в качестве шлюза указан USG).  
Кроме того, у меня выделена подсеть /29. Я добавил статический интерфейсный маршрут для этой подсети на LAN-интерфейсе. Затем, опять же через config.gateway.json, настраиваю NAT-правила для этих маршрутизируемых IP, направляя их на внутренние LAN IP соответствующих устройств.  
В общем, я считаю, что возможность в контроллере задавать IP на WAN-интерфейсе (при этом стоит понимать, что это не связано с PPPoE-соединением, ведь когда PPPoE активен, ppp0 — это ваш WAN-интерфейс внутри, а не eth0) была бы полезна в определённых случаях. Наверное, это должно быть в разделе «расширенных настроек».
 
 
 
#11
03.05.2017 22:02:00
Извиняюсь за задержку… и спасибо всем за советы и подталкивания. Наконец-то за выходные я полностью разобрал сеть и перенастроил её так:

- Отключил juniper и отправил его в спящий режим 😛 (ему уже целых 10 лет службы)
- Изменил конфигурацию USG на PPPoE
- Перезапустил USG и DSL-маршрутизатор, а потом затаил дыхание, пока всё поднималось… и всё вернулось к нужному состоянию!

Некоторые вещи даже заработали лучше:
- Мой ObiHai 202 снова работает (ему совсем не нравится двойной NAT)
- UVP-ы тоже перестали капризничать (раньше тоже не любили двойной NAT) — раньше связь была в одну сторону

Своим UAT-тестировщикам (читай: детворе) я ничего не говорил, они и не заметили ни одной проблемы #победа

Теперь можно приступать к разделению устройств на VLANы.
 
 
 
Страницы: 1
Читают тему (гостей: 1)