Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
USG site-to-site VPN — как добавить отдельные хосты в удалённую сеть?, UniFi Network
 
#1
25.05.2017 15:49:00
Я помогаю другу настроить site-to-site IPsec VPN с одним из его клиентов, используя USG, и конфигурация сети клиента требует добавить конкретный набор удалённых хостов и подсетей:  
172.x.x.x/24  
172.y.x.x/24  
192.168.z.a/32  
192.168.z.b/32  
192.168.z.c/32  

Подсети я могу добавить без проблем, но с хостами возникают сложности. Когда я добавляю хосты с маской /32, приходит сообщение об недопустимом полезном грузe (invalid payload). Может, я что-то упускаю? Предполагаю, что это возможно сделать. Нужно ли выполнять это через CLI?  

Использую актуальные версии: cloudkey 5.4.15 контроллер, USG 4.3.41.4975503.  
На другом конце туннеля стоит Cisco ASA 5525x, если это вообще важно.
 
 
 
#2
05.12.2019 10:37:00
@McFarlingTech Похоже, эта ссылка больше не работает. Я просто мучаюсь, пытаясь заставить это работать. Думаю, что туннель поднят, ipsec statusall показывает, что он активен, я могу отправлять пакеты, но обратно ни одного не приходит.
 
 
 
#3
20.05.2019 15:48:00
Так оно действительно работает, просто не через интерфейс? Это безумие, ведь я специально спрашивал поддержку, можно ли сделать это через CLI.
 
 
 
#4
20.05.2019 15:44:00
На прошлой неделе пришлось искать обходное решение этой проблемы. В итоге решил использовать JSON-файл, чтобы всё заработало (несколько VPN с /32 хостами и некоторые с требованием sha256 вместо sha1). Последний пост на этой странице очень помог. Просто создал VPN обычным способом через GUI, выгрузил конфигурацию, затем удалил их из GUI и подправил JSON под свои нужды.  
https://community.ui.com/feature-requests/ede931c0-9748-4730-92f5-1a6c3e07caae
 
 
 
#5
16.05.2019 15:08:00
Да, в итоге нам тоже пришлось использовать другое устройство для медицинского клиента. В основном из-за того, что приходилось запускать несколько IPSEC-туннелей с разными производителями. Один из них требовал 1-к-1 NAT.
 
 
 
#6
16.05.2019 14:51:00
Просто отвечаю на свой же вопрос. Я решил открыть ещё один тикет, чтобы узнать, что изменилось, и меня направили к статье, в которой прямо написано, что /32 подсети для одиночных хостов не поддерживаются. Нам пришлось купить ещё одно устройство для офиса, которому нужна была эта VPN, потому что партнёр (медицинский биллинг) напрямую контролирует настройку. https://help.ubnt.com/hc/en-us/articles/360002426234-UniFi-USG-VPN-How-to-Configure-Site-to-Site-VPN Просмотрев статьи по edgerouter, складывается впечатление, что, возможно, они это умеют.
 
 
 
#7
15.05.2019 18:02:00
Хорошо, я подниму это снова, потому что получил ещё один запрос сделать это на другом сайте и хочу проверить, что-то изменилось за последние 2 года — тем более, было несколько значительных обновлений софта. Судя по интерфейсу, он по-прежнему не любит маски /32.
 
 
 
#8
27.07.2018 13:16:00
Как именно мне это настроить в файрволе? Правило WAN OUT?
 
 
 
Страницы: 1
Читают тему (гостей: 1)