Unifi Security Gateway (USG) и Google Fiber

Unifi Security Gateway (USG) и Google Fiber, UniFi Network

agampher

Guest

14.02.2017 15:54:00

Это пост для тех, кто идет по моим стопам и ищет простой способ заставить Google Fiber работать с их Unifi Security Gateway (USG). Важно: у меня нет Google Fiber TV/DVR, подробнее об этом в этой теме.

Эти инструкции предполагают, что у вас есть возможность создать файл на вашем Unifi Controller или перенести его туда. Я использую Ubuntu для хостинга контроллера, поэтому буду ссылаться на неё. Насколько я понимаю, cloud key очень похож на Ubuntu, только с другими путями.

Создайте файл с названием config.gateway.json в вашем любимом текстовом редакторе и добавьте следующее:
{
"interfaces": {
"ethernet": {
"eth0": {
"vif": {
"2": {
"egress-qos": "0:3"
}
}
}
}
}
}

Сохраните и скопируйте этот файл в директорию default site на вашем Unifi контроллере. В моем случае это было /var/lib/unifi/sites/default. Возможно, вам придется поменять права на файл, в зависимости от способа создания или переноса.

Перезагрузите свой USG через веб-интерфейс Unifi Controller. Вот и все! Я получаю примерно 950 Мбит/с на вход и выход, используя этот способ.

higherfi

Guest

28.11.2017 21:03:00

Ну, я это запустил.

Короткая история: хотя JSON был правильным, конфигурация почему-то всё равно была не совсем корректной. Вместо того чтобы дальше биться головой об стену, я сделал сброс USG к заводским настройкам, создал простой конфиг в /usr/lib/unifi/data/sites/default/config.gateway.json с только нужными изменениями, и после нескольких попыток и необъяснимых перезагрузок теперь всё отлично работает (и кажется, что стабильно).

Странно, но рабочий конфиг по количеству строк и внешнему виду точно такой же, как и нерабочий, так что я просто списываю это на то, что где-то всё же накосячил.

Единственный минус — скорость теперь не очень высокая, около 400/500 Мбит/с, но тут есть несколько моментов:

1. Другие пользователи UBNT жаловались на похожее, то есть скорость «не гигабитная».

2. Когда я тестировал (быстрой) системой напрямую, подключённой к Google-роутеру, разницы почти не было, так что, скорее всего, UBNT-устройства тут ни при чём.

3. В тесте скорости от Google в их «панели управления» всегда выдавало около 900 Мбит/с и выше, но явно там что-то подозрительное.

Нужно ещё копать. Но сейчас всё работает, и, по моим ощущениям, на том же уровне.

higherfi

Guest

22.11.2017 18:46:00

Извините, но, кажется, вы меня неправильно поняли.

Это старая (полтора года назад) конфигурация, которая отлично работала; единственное изменение — теперь у меня Google Fiber вместо TWC/Spectrum (фу), и все предложенные варианты либо по какой-то причине не работают, либо я что-то делаю не так.

Всё управляется контроллером, но да, я вручную сделал eth0.2 и настройку egress-qos через JSON (потом проверил и вставил в правильное место), и, как видно из вывода, вроде бы «принялось», но работает неправильно.

Имеет ли значение порядок команд? Я всё ещё экспериментирую, может, разберусь, но я «следовал всем инструкциям», как говорится, и всё равно без результата.

ПРАВКА: Ответ — да. Похоже, мне придётся хотя бы целые разделы настраивать через JSON и давать в таком виде. Просто другой возможности получить эту конфигурацию через контроллер нет. VLAN — да, а вот с QOS, насколько я понимаю, нет.

Тогда уже можно будет разбираться, почему скорость не такая, как должна быть, но это уже другая история...

agampher

Guest

22.11.2017 03:26:00

Ты настраиваешь USG через CLI или через контроллер Unifi? Рекомендуется сначала всё настроить в контроллере, а потом добавить указанный выше элемент в сам контроллер в виде json-файла. Насколько я понимаю, контроллер перезаписывает любые изменения, сделанные на USG, при следующей перезагрузке устройства. Если хочешь менять всё напрямую через CLI на устройстве — тогда лучше взять Edgerouter.

Вот подходящие фрагменты моей конфигурации с моего роутера, чтобы ты мог сравнить с твоей:

interfaces:

interfaces {
ethernet eth0 {
duplex auto
speed auto
vif 2 {
address dhcp
dhcp-options {
client-option "retry 60;"
default-route update
default-route-distance 1
name-server no-update
}
egress-qos 0:3
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
out {
name WAN_OUT
}
}
}
}

и port-forward:

port-forward {
auto-firewall disable
hairpin-nat enable
lan-interface eth1.80
lan-interface eth1
lan-interface eth1.50
lan-interface eth1.40
lan-interface eth1.30
lan-interface eth1.20
rule 3001 {
description <redacted>
forward-to {
address <redacted>
}
original-port <redacted>
protocol tcp
}
rule 3002 {
description <redacted>
forward-to {
address <redacted>
}
original-port <redacted>
protocol udp
}
wan-interface eth0.2
}

higherfi

Guest

21.11.2017 22:31:00

Ну вот, никак не получается заставить это работать. Что бы я ни делал, WAN IP-адрес не назначается.

Базовая конфигурация...

Google Fiber Panel -> USG (FW 4.4.12) -> UniFi 24-port PoE+ (FW 3.9.9) -> Сеть

higherfi@gateway:~$ info

Model: UniFi-Gateway-3
Version: 4.4.12.5032482
MAC Address: 80:2a:a8:4f:b4:77
IP Address: 0.0.0.0
Hostname: gateway
Uptime: 236 секунд

Status: Connected (http://192.168.1.9:8080/inform)

higherfi@gateway:/proc/net/vlan$ sudo cat eth0.2
eth0.2 VID: 2 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 0
total bytes received 0
Broadcast/Multicast Rcvd 0
total frames transmitted 0
total bytes transmitted 0
Device: eth0
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:3

higherfi@gateway:/proc/net/vlan$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - u/u
eth0.2 - u/u
eth1 192.168.1.2/24 u/u
eth2 - A/D
lo 127.0.0.1/8 u/u
::1/128

Важные части конфигурации...

"interfaces": {
"ethernet": {
"eth0": {
"address": [
"dhcp"
],
"dhcp-options": {
"client-option": [
"retry 60;"
],
"default-route-distance": "1",
"name-server": "no-update"
},
"firewall": {
"in": {
"ipv6-name": "WANv6_IN",
"name": "WAN_IN"
},
"local": {
"ipv6-name": "WANv6_LOCAL",
"name": "WAN_LOCAL"
},
"out": {
"ipv6-name": "WANv6_OUT",
"name": "WAN_OUT"
}
},
"vif": {
"2": {
"egress-qos": "0:3"
}
}
},

Проверил, всё вроде правильно, и система берет конфигурацию без ошибок, но почему-то не работает. Из всего, что я читал здесь и везде, если VLAN не тегируется корректно, ничего работать не будет, но вроде как тег стоит, а адрес всё равно не получается получить.

Может, я просто устал и что-то банально упускаю?

Хотя сейчас задумался — а не в этом ли дело? Не думаю, но Cisco мне роднее, чем UBNT (надо это исправлять).

"port-forward": {
"auto-firewall": "disable",
"hairpin-nat": "enable",
"lan-interface": [
"eth1"
],
"wan-interface": "eth0"
},

- Джастин

unstatusthequo Guest	#6 09.08.2017 23:44:00 Для тех, кто использует CloudKey, путь такой: /srv/unifi/data/sites/default/ Очень хотелось бы, чтобы это сработало у меня. Но скорость WAN всё равно медленная, даже после проверки прав на json-файл, повторной настройки и перезагрузки.

Читают тему (гостей: 1)