Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
(немецкий) USG в существующую сеть, UniFi Network
 
#1
04.10.2017 11:14:00
Так как мой английский работает только через переводчик, пишу здесь на немецком. Надеюсь, что найдутся те, кто говорит или пишет по-немецки. Мои знания в сетях и настройке фаервола ни с чем профессиональным не сравнить — можно назвать их базовыми.

Моя сеть устроена следующим образом. FritzCable как модем, к ней подключён Fritz 7490 в роли роутера. За ним расположена телефонная станция и NAS, UniFi Switch и 2 AP Pro, а также система с UniFi NVR и 4 камерами. На NAS тоже установлено программное обеспечение контроллера.

На Fritz 7490 с статическим IP настроено два VPN: один для мобильного устройства, другой — для подключения к FritzEntfernt. Это соединение нужно для создания телефонного номера с подключением к телефонной станции через FritzEntfernt, а также для доступа к NAS.

Теперь я хочу дальше разбить сеть на Fritz 7490 с помощью VLAN. Сейчас активны гостьевая сеть и "обычная" сеть Fritz 7490, они настроены через коммутатор и работают так, как задумано.

Дальше хочу ввести USG. Поскольку опыта почти нет, придумал такой вариант: FritzCable и Fritz 7490 остаются, вместе с VPN на ней. Телефонная станция и NAS продолжают работать через Fritz 7490, а оттуда идёт подключение к USG.

Контроллер находится на NAS, у которого два сетевых порта: один — в Fritz 7490, второй надо подключить к новой сети, чтобы обеспечить доступ к NAS как из внутренней сети, так и извне.

Как лучше встроить USG в текущую схему? Я понимаю, что все устройства получат новые IP-адреса. Может быть, для более удобного перехода стоит использовать CloudKey?

Когда новая сеть будет готова, хочу поместить NVR и камеры в отдельный VLAN. Как тогда по VPN получить к ним доступ? Стоит ли пока оставить их на Fritz 7490, пока остальная сеть не будет поменяна?

Это первый шаг, а дальше, когда знания по USG улучшатся, планирую убрать Fritz 7490 и управлять всем через USG. Думаю, с моими знаниями такой подход позволит не прерывать важное соединение FritzEntfernt с телефонной станцией.
 
 
 
#2
14.01.2019 16:15:00
Привет, да, я сделал так же. Сначала всё работало через Fritz Box 7490 от Telekom с пробросом портов и двойным NAT, а теперь через Kabel Deutschland Fritz Box в режиме Exposed Host. Телефон при этом работает не через USG, а напрямую через Fritz.  
С уважением, Маркус
 
 
 
#3
14.01.2019 23:01:00
Если USG зарегистрирован как exposed Host, тогда все порты, не определённые в Fritzbox, пробрасываются на USG. Соответственно, нужно настраивать проброс портов в USG (через контроллер), если, например, хочется добраться до компьютера за ним (например, по RDP). VPN тоже будет проходить через USG… с Windows 10 проблем нет, я так уже работал. У меня Fritzbox 7580 (подключён к 1&1) выступает клиентом за USG, сейчас он только в роли DECT-базы. Телефонная станция — Asterisk на Raspberry Pi 3B+, к ней подключён Fritzbox с 5 DECT-телефонами AVM C4 и одним DECT-гарнитурой, а в домашнем офисе у меня Yealink T46S, где классно работает индикация занятости линии. Так я вижу, занят ли сейчас кто-то телефонным разговором, и могу легко перекинуть звонок туда... также есть возможность прямой переадресации на гарнитуру по кнопке. В целом я почти доволен, если бы не то, что мой USG постоянно отключается. Друг напечатал для меня кожух для вентилятора на 3D-принтере, а я заказал к нему вентилятор Noctua 40 мм — теперь USG не греется так сильно.
 
 
 
#4
14.01.2019 22:01:00
Я считаю, что функция NAT просто не применяется к этому конкретному IP-адресу.
 
 
 
#5
14.01.2019 21:57:00
Потому что при двойном NAT нужно открывать нужные порты и на USG, и на Fritz Box. Не забудьте настроить маршрут в Fritz Box на USG, чтобы при подключении по VPN весь трафик с Fritz Box шел через USG. Двойной NAT исчезает только благодаря маршрутам от Fritz к USG, даже если USG настроен как Exposed Host в Fritz. Тогда USG находится напрямую в интернете.
 
 
 
#6
14.01.2019 20:48:00
Значит, таким образом проблема с двойным NAT решена? С уважением, Йенс
 
 
 
#7
14.01.2019 20:20:00
@vogelgis

Почему ты не выставляешь WAN IP USG в DMZ на Fritz?
 
 
 
#8
14.01.2019 19:49:00
Я снова убрал свой USG. Если мне удастся нормально настроить двойной NAT на USG, возможно, я верну его обратно. Только вот проблемы с этим девайсом были. Не понимаю, как NAT нельзя отключить через GUI. Из-за этого теряются потенциальные клиенты. Возможно, я перейду на Synology RT2600ac.
 
 
 
#9
14.01.2019 16:09:00
Извини, хоть это и было давно... я правильно понял: Fritzbox 6490 (или даже 6360), к нему ещё 7490, а уж потом USG? Это же тройной NAT... 7490 совершенно лишняя. Если уж использовать 6490 (она же VPN поддерживает), то сразу к ней USG в режиме exposed host — и всё.  
С наилучшими пожеланиями,  
Хейко
 
 
 
#10
10.02.2018 14:33:00
Привет, я попытался, но, к сожалению, безуспешно, даже на интерфейсе WAN/LAN: Нужно ли что-то ещё открыть в файрволе?
 
 
 
#11
10.02.2018 13:38:00
Маршрут задаёшь на USG (контроллере) в разделе Firewall/статические маршруты.
 
 
 
#12
10.02.2018 13:17:00
После многокчасовой настройки и тестирования мне удалось на 99% успешно интегрировать USG. Раньше, до установки USG, у меня был VPN-туннель между двумя Fritz box, и два NAS делали взаимное резервное копирование. Вот как это выглядело раньше:  
Nas1 (192.168.178.67) → Fritz1 192.168.178.1 ↔ Fritz2 192.168.0.1 → Nas2 192.168.0.22  

Сейчас я добавил USG, и конфигурация такая:  
Nas1 (192.168.178.67) → Fritz1 192.168.178.1 ↔ Fritz2 192.168.0.1 → USG 192.168.0.68 (Wan) 192.168.1.1 (Lan) → Nas2 192.168.1.7  

На Fritz2 прописан маршрут к USG, порт-форвардинги тоже настроены. VPN-туннель от Fritz1 к Fritz2 я изменил от сети 192.168.0.0 на 192.168.1.0, и теперь всё работает с Nas1 в сторону Nas2. Но вот Nas2 не видит Nas1. Думаю, не хватает маршрута с USG в сеть 192.168.178.0, но не знаю, как правильно добавить его в USG, чтобы трафик с 192.168.1.x шёл в 192.168.178.x.  

Кто-нибудь есть идея?
 
 
 
#13
07.02.2018 19:39:00
Да, именно для тебя я это сделал. С Dyndns всё продолжается без изменений.
 
 
 
#14
07.02.2018 17:44:00
Привет, Йенс, значит, нужно пробросить нужные порты с Fritz Box на IP USG, там отключить NAT и настроить маршрут от Fritz Box к USG. Потом порты ещё раз открыть на USG, так? Как Synology NAS получает IP-адрес DSL, если у меня Synology работает с dyndns? Спасибо! С уважением, Маркус
 
 
 
#15
07.02.2018 16:39:00
Привет, Маркус, как exposed Host я USG не прописывал. Необходимые пробросы портов настроил отдельно в Fritzbox. Привет, Йенс.
 
 
 
#16
07.02.2018 15:46:00
Привет, я тоже хочу настроить всё так же (Fritz box как VPN и телефонную станцию, остальное через USG). Нужно ли на Fritz для порта к USG выставлять Exposed host? Какой у вас долгосрочный опыт с такой связкой? С уважением, Маркус
 
 
 
#17
06.01.2018 12:23:00
Привет, Фолькер, спасибо за быстрый ответ. До этого момента я думал, что нужно положить JSON-файл в каталог /srv/unifi/run.  
Мой файл теперь выглядит так:  
{  
  "service": {  
    "nat": {  
      "rule": {  
        "6001": {  
          "disable": "''"  
        },  
        "6002": {  
          "disable": "''"  
        },  
        "6003": {  
          "disable": "''"  
        }  
       }  
      }  
    }  
}  
#############################################################  
show service nat  
rule 6001 {  
 description "MASQ corporate_network to WAN"  
 log disable  
 outbound-interface eth0  
 protocol all  
 source {  
  group {  
   network-group corporate_network  
  }  
 }  
 type masquerade  
}  
rule 6002 {  
 description "MASQ remote_user_vpn_network to WAN"  
 log disable  
 outbound-interface eth0  
 protocol all  
 source {  
  group {  
   network-group remote_user_vpn_network  
  }  
 }  
 type masquerade  
}  
rule 6003 {  
 description "MASQ guest_network to WAN"  
 log disable  
 outbound-interface eth0  
 protocol all  
 source {  
  group {  
   network-group guest_network  
  }  
 }  
 type masquerade  
}  
##################################################################  
И скоро всё это должно заработать через веб-интерфейс. Постепенно всё начинает работать (спасибо твоей помощи). Сейчас думаю, есть ли смысл поставить собственный DNS-сервер на Synology.
 
 
 
#18
06.01.2018 11:26:00
Двойной NAT: Текущая конфигурация «исчезает» при следующем обновлении. Это полезно для проверки изменений в конфигурации (этой и других), потому что можно просто выдернуть шнур питания и вернуться к исходному состоянию.  

Для настройки json-файла вот ссылка (на английском):  
Основы: https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json  

Самое важное оттуда... подробно объясняется, как протестировать изменение конфигурации на USG, потом прочитать конфигурацию и перенести результат в файл config.gateway.json. Ты же уже всё это сделал!  

Местоположение папки Unifi-Base: https://help.ubnt.com/hc/en-us/articles/115004872967  
Для Cloud Key это: UniFi Cloud Key & Debian/Ubuntu Linux: /usr/lib/unifi  
Полный путь: /usr/lib/unifi/data/sites/default  

Если у тебя несколько сайтов, у каждого может быть свой USG — для каждого из них здесь тоже можно хранить .json-файл. Названия других сайтов — случайные сочетания букв, у тебя же должен быть ровно один каталог «default».  

ВНИМАНИЕ:  
Проверь, чтобы файл имел правильную структуру JSON, например, на jsonlint.com.  
Если есть ошибка синтаксиса (обычно лишняя или недостающая запятая или скобка), USG будет постоянно пытаться считать файл и одновременно выдавать ошибки, которые видны в контроллере и могут приходить на почту. Выглядит как бесконечная перезагрузка, но это не так страшно.  

Если USG не настроится корректно в течение 2-3 минут и не «успокоится», ты можешь переименовать файл на Cloud Key — и весь «кошмар» закончится. После исправления опять переименуй и запусти обновление заново.
 
 
 
#19
03.01.2018 20:49:00
Статус: Двойной NAT. По инструкциям Волькера V42 отключено, но JSON-файл пока не создан. Пока не ясно, где именно этот файл должен или может лежать на CloudKey.  
DNS: Какая конфигурация лучше?  
Автоматическая, или явно указывать DNS-серверы? Если второй вариант, то какие именно? namebench определил для меня самый быстрый сервер 8.8.8.4, чуть отстаёт 9.9.9.9.  
Или лучше использовать USG или собственный DNS-сервис на локальном NAS?  
Переадресация портов — всё в порядке.  
С уважением, Йенс.
 
 
 
#20
02.01.2018 11:36:00
Den SUG я полностью сбросил. Теперь хочу, как и раньше, создать нового администратора на USG. Почему-то USG не предложил мне создать этого пользователя. Сейчас пытаюсь открыть необходимые порты. Для этого в Fritzbox я указал USG WAN как Exposed Host. Затем создал в контроллере несколько правил порт-форвардинга. У моего NAS фиксированный IP 192.168.1.20. На NAS (Synology) у меня работает CloudStation, но я не хочу открывать стандартные порты. Раньше я использовал фиксированный портовый сдвиг: CloudStation использует порт 6690, значит в Fritzbox перенаправлял (50 000 + 6 690) = 56 690 на порт 6 690 и в приложениях указывал порт 56 690. Я создал такое правило, но оно не работает:  
Порт: 56690  
Forward IP: 192.168.1.20  
Forward Port: 6690  
Доступ к моей Photostation через https и http работает без проблем.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)