Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
USG PRO 4 ПРИМЕР config.gateway.json для 5 публичных IP-адресов, UniFi Network
 
#1
19.12.2016 18:41:00
Версия cfg и зашифрованный пароль были удалены. IP-адреса заменены на обобщённые. В остальном это из рабочего файла config.gateway.json, который у меня находится в папке default site на моём Cloud Key. USG Pro 4 загружает этот файл при перезагрузке после того, как вы его подключите через контроллер (Cloud Key, Windows Server и т.д.). Используется 5 статических публичных IP-адресов. Вам нужно будет перезагрузить подключаемый шлюз (кабельный модем, модем Fios и т.п.), чтобы NAT корректно заработал.
 
 
 
#2
31.01.2018 19:42:00
Без обновлений. Всё по-прежнему. У меня всё по-прежнему работает идеально. По поводу проблемы с PPPoE у меня нет никаких идей.
 
 
 
#3
04.09.2018 19:48:00
Всем привет! В нашем офисе стоит USG 4 с прошивкой 4.4.12. Мы получаем от нашего провайдера статический IP через PPPoE, а также дополнительный пул из 16 статических IP-адресов. Ниже часть нашего config.gateway.json:

{
   "interfaces": {
       "ethernet": {
           "eth2": {
               "address": [
                   "xxx.yyy.zzz.33/28",
                   "xxx.yyy.zzz.34/28",
                   "xxx.yyy.zzz.35/28",
                   "xxx.yyy.zzz.36/28",
                   "xxx.yyy.zzz.37/28",
                   "xxx.yyy.zzz.38/28",
                   "xxx.yyy.zzz.39/28",
                   "xxx.yyy.zzz.40/28",
                   "xxx.yyy.zzz.41/28",
                   "xxx.yyy.zzz.42/28",
                   "xxx.yyy.zzz.43/28",
                   "xxx.yyy.zzz.44/28",
                   "xxx.yyy.zzz.45/28",
                   "xxx.yyy.zzz.46/28"
               ]
           }
       }
   },
   "service": {
       "nat": {
           "rule": {
               "3010": {
                   "description": "DNAT xxx.yyy.zzz.33 -> 10.10.0.33",
                   "destination": {
                       "address": "xxx.yyy.zzz.33"
                   },
                   "inbound-interface": "pppoe0",
                   "inside-address": {
                       "address": "10.10.0.33"
                   },
                   "log": "disable",
                   "protocol": "tcp_udp",
                   "type": "destination"
               },
               "5010": {
                   "description": "SNAT 10.10.0.33 -> xxx.yyy.zzz.33",
                   "log": "disable",
                   "outbound-interface": "pppoe0",
                   "outside-address": {
                       "address": "xxx.yyy.zzz.33"
                   },
                   "protocol": "tcp_udp",
                   "source": {
                       "address": "10.10.0.33"
                   },
                   "type": "source"
               }
           }
       }
   },
   "firewall": {
       "name": {
           "WAN_IN": {
               "rule": {
                   "3010": {
                       "action": "accept",
                       "description": "Allow xxx.yyy.zzz:SSH",
                       "destination": {
                           "address": "10.10.0.33",
                           "port": "22"
                       },
                       "log": "enable",
                       "protocol": "tcp"
                   }
               }
           }
       }
   }
}

Эта конфигурация добавляет дополнительные публичные IP-адреса (xxx.yyy.zzz.33 и т.д. — это публичные IP) и настраивает source и destination NAT между парами IP (публичный — внутренний). Для краткости в конфиге показано сопоставление только для одного IP, для остальных нужно добавить аналогичные секции. Не забывайте увеличивать номера правил. Также добавлен пример правила для фаервола.

Мы пришли к этой конфигурации, наблюдая трафик через tcpdump. Эта конфигурация была написана ещё до появления GUI для правил фаервола в контроллере. Думаю, секцию фаервола можно не включать в конфиг, а задать напрямую через GUI.

Удачи!
 
 
 
#4
03.09.2018 19:57:00
Хотелось бы увидеть, как ты доработаешь эту конфигурацию. У нас до сих пор проблемы с созданием стабильной настройки, которая позволяла бы нам направлять трафик по сети так, как нам нужно.
 
 
 
#5
30.08.2018 15:14:00
Слежу за этим заблокированным топиком, чтобы быть в курсе. Так удобнее проверять обновления. Заменяю один корпоративный файрвол Palo Alto PA-200 на USG дома (поддержка Palo закончилась, да и у меня есть точки доступа от Ubiquity). Пока что я примерно понимаю, как работает .json файл. Сейчас настраиваю свою систему, позже расскажу, как прошло.

Использую DNAT 1 к 1 для 4 из 5 статических IP в моем /29, а в разделе NAT указал протокол «все», чтобы не разбирать порты TCP/UDP прямо при NAT. Лучше оставить это на этап файрвола.

Потом сделаю зеркальное Source NAT, чтобы исходящий трафик тоже правильно отображался. У Palo аналогично, только там можно выбрать двунаправленность в одном правиле, так что особой разницы нет.

Последний IP из пула оставляю для общего PAT на исходящий трафик с LAN, плюс пару портов для DNAT — для нескольких забавных игровых приложений, которые у меня есть.

Ник
 
 
 
#6
30.06.2018 16:34:00
Я вообще не понимаю, как настроить правила файервола или группы, чтобы что-то заработало. Мы с коллегой сидим над этим весь день, и всё равно не можем пропустить трафик с одного алиаса на внутренний IP, не говоря уже о том, чтобы ограничить что-то по портам. Для примера: как сделать так, чтобы внешний трафик, идущий на 50.50.50.22, попадал на 192.168.0.122 только по портам 80 и 443? Если поможешь с этим, мы уже сами всё остальное сделаем.
 
 
 
#7
31.01.2018 19:23:00
Есть пост, где обсуждают это, если хочешь присоединиться — или нет. https://community.ui.com/questions/51ec55c5-1933-4e2c-868b-3aabc4d295ac#comment/6d55a849-059e-4846-9866-66fdee02f4e7
 
 
 
#8
31.01.2018 17:06:00
А если eth3 — это ppoe с выделенным /29 от провайдера? Отчаянно пытаясь решить этот вопрос, я уже задавал его, но ответа так и не получил. UBNT — при изучении этого вопроса встречается множество постов и запросов, когда это наконец появится в GUI, но я не видел никакой реакции. Это же самая базовая функция. Чертовщина, роутеры для малого офиса и дома тут, в Великобритании, делают это прямо из коробки (настолько, что мне даже в голову не приходило проверить, умеет ли USG 4 делать это вообще). USG 4 может быть премиальным продуктом и выполнять продвинутые функции, но если он не справляется с элементарными задачами просто, то это особо и не зачем.
 
 
 
#9
29.01.2018 04:22:00
Спасибо за это. Есть какие-то обновления с тех пор, как вы это опубликовали? Подводные камни? Я работаю с похожей конфигурацией. К тому же, в других постах говорили, что нужно включать всю структуру целиком (например, interfaces), если вносятся изменения. Это так? Нужно ли мне здесь добавлять ветки для остальных Ethernet-интерфейсов?
 
 
 
#10
23.06.2017 15:33:00
Гораздо лучшая версия теперь: Это минимальная конфигурация config.gateway.json, которая позволяет делать NAT для нескольких IP-адресов на моём USG Pro 4. Что нужно знать вначале: eth2 — это также WAN-подключение с DHCP, настроенным через GUI (я использую его как основной исходящий интернет). eth3 имеет 5 статических IP-адресов, при этом 50.50.50.21 назначен интерфейсу через GUI с указанием IP-адреса, маски подсети, маршрутизатора и основного DNS, как обычно (Devices, USG PRO 4, Configuration, WAN 2). Балансировка нагрузки включена, eth3 имеет взвешенный процент нагрузки 1 (Devices, USG PRO 4, Configuration, WAN 2). Правила файервола и группы настроены в GUI так, чтобы разрешить определённый трафик к интернету на IP-адресах, указанных в config.gateway.json. Правила файервола настроены через Settings, Router & Firewall, Firewall, Rules. Группы файервола — через Settings, Router & Firewall, Groups. Я использую правила назначения, указывающие на группы, которым назначены внутренние IP-адреса, проброшенные NAT в config.gateway.json. В группах у меня по две на каждое правило файервола. Одна группа — внутренние IP-адреса, на которые указывает внешний NAT IP. Другая — все порты, которые хочу открыть для конкретного IP-адреса. NAT, описанный в config.gateway.json, пропускает ВСЕ потоки трафика. Как раз правила файервола в GUI и блокируют лишний трафик. Обязательно переименуйте вложенный файл в config.gateway.json перед загрузкой. Я использую SecureFX для загрузки через SCP. Загружаю файл в /usr/lib/unifi/data/sites/default на моём Cloud Key. Затем перезагружаю и USG Pro 4, и модем, который предоставляет статические IP-адреса. USG Pro 4 не показывает состояние provisioning. Он показывает connected, и любые изменения в GUI, например в правилах файервола, применяются мгновенно.

{
   "interfaces": {
       "ethernet": {
           "eth3": {
               "address": [
                   "50.50.50.21/29",
                   "50.50.50.22/29",
                   "50.50.50.23/29",
                   "50.50.50.24/29",
                   "50.50.50.25/29"
               ],
               "duplex": "auto",
               "firewall": {
                   "in": {
                       "name": "WAN_IN"
                   },
                   "local": {
                       "name": "WAN_LOCAL"
                   },
                   "out": {
                       "name": "WAN_OUT"
                   }
               },
               "speed": "auto"
           }
       }
   },
   "service": {
       "nat": {
           "rule": {
               "1001": {
                   "description": "WEB2",
                   "destination": {
                       "address": "50.50.50.22"
                   },
                   "inbound-interface": "eth3",
                   "inside-address": {
                       "address": "192.168.0.122"
                   },
                   "protocol": "all",
                   "type": "destination"
               },
               "1010": {
                   "description": "EMAIL",
                   "destination": {
                       "address": "50.50.50.23"
                   },
                   "inbound-interface": "eth3",
                   "inside-address": {
                       "address": "192.168.0.123"
                   },
                   "protocol": "all",
                   "type": "destination"
               },
               "1020": {
                   "description": "WEB",
                   "destination": {
                       "address": "50.50.50.24"
                   },
                   "inbound-interface": "eth3",
                   "inside-address": {
                       "address": "192.168.0.124"
                   },
                   "protocol": "all",
                   "type": "destination"
               }
           }
       }
   }
}
 
 
 
#11
31.01.2018 19:44:00
Похоже, в этом нет особого смысла, это одна из многих веток, где обсуждается эта проблема. В одном из сообщений говорится, что это запрос на функцию, который существует уже 5 лет...
 
 
 
Страницы: 1
Читают тему (гостей: 1)