Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Что я упускаю?, UniFi Network
 
#1
08.04.2019 20:03:00
Я провёл кучу исследований и получил необходимое образование, чтобы дойти до того уровня, где я сейчас. Чувствую, что почти достиг цели, но что-то работает не так, как задумано. Может, кто подскажет, где я ошибся? Опишу всё по шагам, чтобы другим было проще повторить, хотя я, конечно, и иду по стопам других.

Для справки я использовал это видео https://www.youtube.com/watch?v=Tu_lux7F9Z4&feature=youtu.be  
И эту ветку https://community.ui.com/questions/7a5cfc9f-10fa-4302-baf1-f356f243c66e  
А также инструкцию по policy based routing.  

В эти выходные обновил прошивку до последней версии.

Настроил VPN Network с именем PIA VPN TUNNEL  
VPN Client = Включен  
PPTP Client = Включен  
Enable this VPN = Включено  
Do not check use for internet = Не отмечено  
Route Distance = 5  
Remote subnets = 1.2.3.4/30  
Use VPN Server DNS's = Включено  
Заполнил IP или имя VPN сервера = sweden.privateinternetaccess.com  
Имя пользователя и пароль, взятые с сайта для PPTP-соединения, тоже введены.

Создал ещё одну сеть «VPN VLAN» с ID 90 и подсетью 192.168.90.1/24.

Подключился по SSH к моему USG и выполнил следующие команды:  
set firewall modify VPN_Gateway rule 3000 action modify  
set firewall modify VPN_Gateway rule 3000 modify table 1  
set firewall modify VPN_Gateway rule 3000 source address 192.168.90.1/24  
set firewall modify VPN_Gateway rule 3000 protocol all  
set protocols static table 1 interface-route 0.0.0.0/0 next-hop-interface pptpc0  
set interfaces ethernet eth1 vif 90 firewall in modify VPN_Gateway  
commit;  
exit

Затем получил конфигурацию командой «mca-ctrl -t dump-cfg», скопировал её в jsoneditoronline.org, сохранил как «config.gateway.json» и поместил файл на контроллер Unifi в /usr/lib/unifi/data/sites/site_ID.  

Сделал принудительное Provision USG.

Мои другие сети и настройки не пострадали. До этих изменений ПК в VLAN имел IP из диапазона 192.168.90.1, отображал реальный IP и имел доступ в интернет. Сейчас тот же IP и VLAN есть, а интернета нет.  

Похоже, что всё почти работает — на 90%, просто трафик не маршрутизируется полностью правильно или я где-то опечатался?

Какие команды нужно выполнить, чтобы проверить, что PPTP подключение действительно активно и работает?

Спасибо за помощь!
 
 
 
#2
01.05.2019 03:20:00
Ваша проблема скорее всего связана с проверкой источника, судя по этому логу: Apr 29 17:46:57 RackUSGFirewall kernel: IPv4: martian source 10.1.1.10 from 8.8.8.8, on dev pptpc0.

Если вы зайдёте по SSH на USG и введёте:
configure
set firewall source-validation disable
commit; save; exit
restart VPN

то, возможно, всё заработает. К тому же PPTP — это не современный способ настройки VPN, он давно известен как устаревший протокол с множеством уязвимостей (к слову, его уже взломали в NSA).
 
 
 
#3
30.04.2019 22:46:00
Ладно, с меня хватит. Перекинул свой VPN на Raspi — стоит 35 баксов и справляется отлично. У меня в Unifi вложено тысячи долларов в оборудование, а он не тянет современные VPN-настройки. Да, мне нравится то, что я получаю, но это серьёзный минус — не суметь привести всё в порядок.
 
 
 
#4
29.04.2019 23:14:00
Перезагрузил USG, включил VPN, и вот что я вижу.  
@RackUSGFirewall:~$ grep -i pptp /var/log/messages  
Apr 29 17:41:53 RackUSGFirewall pptp[3030]: anon log[main😛ptp.c:314]: Опция синхронного pptp НЕ активирована
Apr 29 17:41:54 RackUSGFirewall pptp[3042]: anon log[ctrlp_rep😛ptp_ctrl.c:251]: Отправлен управляющий пакет типа 1 'Start-Control-Connection-Request'
Apr 29 17:41:54 RackUSGFirewall pptp[3042]: anon log[ctrlp_disp😛ptp_ctrl.c:739]: Получен ответ Start Control Connection
Apr 29 17:41:54 RackUSGFirewall pptp[3042]: anon log[ctrlp_disp😛ptp_ctrl.c:773]: Клиентское соединение установлено.
Apr 29 17:41:55 RackUSGFirewall pptp[3042]: anon log[ctrlp_rep😛ptp_ctrl.c:251]: Отправлен управляющий пакет типа 7 'Outgoing-Call-Request'
Apr 29 17:41:55 RackUSGFirewall pptp[3042]: anon log[ctrlp_disp😛ptp_ctrl.c:858]: Получен ответ Outgoing Call
Apr 29 17:41:55 RackUSGFirewall pptp[3042]: anon log[ctrlp_disp😛ptp_ctrl.c:897]: Исходящий звонок установлен (call ID 0, call ID собеседника 27776).
Apr 29 17:41:56 RackUSGFirewall zebra[623]: индекс интерфейса 12 переименован с ppp0 в pptpc0
Apr 29 17:41:56 RackUSGFirewall zebra[623]: интерфейс pptpc0, индекс 12 изменён <UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>.
Apr 29 17:42:55 RackUSGFirewall pptp[3042]: anon log[logecho😛ptp_ctrl.c:677]: Получен Echo Reply.
Apr 29 17:43:55 RackUSGFirewall pptp[3042]: anon log[logecho😛ptp_ctrl.c:677]: Получен Echo Reply.
Apr 29 17:44:55 RackUSGFirewall pptp[3042]: anon log[logecho😛ptp_ctrl.c:677]: Получен Echo Reply.
Apr 29 17:45:55 RackUSGFirewall pptp[3042]: anon log[logecho😛ptp_ctrl.c:677]: Получен Echo Reply.
Apr 29 17:46:55 RackUSGFirewall pptp[3042]: anon log[logecho😛ptp_ctrl.c:677]: Получен Echo Reply.
Apr 29 17:46:57 RackUSGFirewall kernel: IPv4: марсианский источник 10.1.1.10 от 8.8.8.8, на устройстве pptpc0  
Apr 29 17:46:58 RackUSGFirewall kernel: IPv4: марсианский источник 10.1.1.10 от 8.8.8.8, на устройстве pptpc0  
Apr 29 17:46:59 RackUSGFirewall kernel: IPv4: марсианский источник 10.1.1.10 от 8.8.8.8, на устройстве pptpc0  
Apr 29 17:47:00 RackUSGFirewall kernel: IPv4: марсианский источник 10.1.1.10 от 8.8.8.8, на устройстве pptpc0  
Apr 29 17:47:01 RackUSGFirewall kernel: IPv4: марсианский источник 10.1.1.10 от 8.8.8.8, на устройстве pptpc0  
Apr 29 17:47:02 RackUSGFirewall kernel: IPv4: марсианский источник 10.1.1.10 от 8.8.8.8, на устройстве pptpc0  

RackUSGFirewall:~$ show interfaces pptp-client  
pptpc0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1496 qdisc pfifo_fast state UNKNOWN qlen 100  
link/ppp  
inet 10.1.1.10 peer 10.1.1.1/32 scope global pptpc0  
valid_lft forever preferred_lft forever  
RX: bytes packets errors dropped overrun mcast  
36014 592 0 0 0 0  
TX: bytes packets errors dropped carrier collisions  
28490 463 0 0 0 0  

RackUSGFirewall:~$ show interfaces  
Codes: S - состояние, L - линк, u - включено, D - выключено, A - админ отключение  
Interface      IP Address         S/L Description  
---------      ----------         --- -----------  
eth0           206.246.1.50/24    u/u WAN  
eth1           192.168.1.1/24     u/u LAN  
eth1.20        192.168.20.1/24    u/u  
eth1.30        192.168.30.1/24    u/u  
eth1.40        192.168.40.1/24    u/u  
eth1.50        192.168.50.1/24    u/u  
eth1.60        192.168.60.1/24    u/u  
eth1.90        192.168.90.1/24    u/u  
eth2           -                  A/D  
lo             127.0.0.1/8       u/u  
::1/128  
pptpc0         10.1.1.10          u/u PIA VPN Tunnel  

IPv4  
Firewall "VPN_Gateway"  
Active on (eth1.90,IN)  
rule packets bytes action description  
---- ------- ----- ------ -----------  
3000 606 42602 MODIFY  
10000 2 656 ACCEPT DEFAULT ACTION  

Всё вроде как поднялось и настроено.  
Но всё равно не могу пинговать и выходить в интернет...  

Перехожу к другому варианту, хотя кажется, что это не решит основную проблему, потому что, на мой взгляд, всё работает и настроено правильно. Даже если я перейду на openvpn, думаю, будет то же самое.  

Это начинает порядком раздражать.
 
 
 
#5
29.04.2019 22:01:00
Ну, забудьте, у Raspberry Pi нет нескольких сетевых портов... Хотя статья действительно подробная и интересная.
 
 
 
#6
29.04.2019 21:52:00
Нет, спасибо за ответ, я изучу это. Посмотрю, что, возможно, смогу сделать с Raspberry Pi.
 
 
 
#7
29.04.2019 20:43:00
Привет, @XOSIASX!

Я тоже шел этим путем (правда с NordVPN), но в итоге забросил. Не хочу показаться насмешливым — просто выбрал другой подход, основываясь на том, что прочитал. Всё зависит от того, чего ты хочешь, но если твоя цель — чтобы только один VLAN проходил через VPN, то мой способ может тебе подойти. Я описал его в отдельной теме: Guide: VPN VLAN — как запустить VPN на отдельном устройстве для VLAN, интегрированного в сеть UniFi.

На самом деле всё довольно просто, но: 1) работает только с одним VLAN в сети UniFi и 2) использует отдельное устройство для VPN-шифрования (для меня это даже плюс, потому что было удобно). Я просто взял свой старый роутер под VPN.

В общем, это гораздо проще, чем нынешний подход от Ubiquiti (с JSON-файлами и прочим).

Если этот вариант тебе не подходит — без обид, просто решил поделиться на всякий случай.
 
 
 
#8
29.04.2019 15:13:00
Кто-нибудь ещё хочет вставить свои пять копеек?
 
 
 
Страницы: 1
Читают тему (гостей: 1)