Политика маршрутизации (PBR) не работает при использовании L3-коммутатора

Политика маршрутизации (PBR) не работает при использовании L3-коммутатора, UniFi Network

Prideofpr7

Guest

09.01.2026 02:37:00

Моя конфигурация следующая: VLAN 1 и 2 на шлюзовом устройстве (Unifi Cloud Gateway Fiber, ранее UDM-Pro). Остальные VLAN настроены как SVI на коммутаторе L3 (USW Pro 48 PoE). В данный момент у меня настроен туннель NordVPN, и я пытаюсь направить трафик от клиента из VLAN 3 через VPN-туннель с помощью правила PBR. Когда клиент находится в VLAN, подсеть которого использует коммутатор L3 в качестве шлюза, политика не срабатывает. Если клиент переходит в подсеть, обслуживаемую UCG Fiber, PBR работает как положено. Такое же поведение наблюдалось и на моём UDM-Pro.

Prideofpr7

Guest

28.01.2026 01:03:00

Согласен с @TyShawn, спасибо @KHT-Admin за дополнительные усилия. @TyShawn прав: я указывал на пробел в линейке продуктов. Надеялся получить официальный ответ от кого-то из UI, но пока безрезультатно. Также пробовал создать несколько политик, которые ты вчера настроил, и получил те же результаты, что и ты. Понимаю, люди могут сомневаться, зачем я вообще так настраиваю сеть, но раз уж у меня L3-коммутатор, я хочу протестировать его возможности. Эта конфигурация, на мой взгляд, вполне стандартна, так что мы знаем: это реализуемо! Рад помочь чем угодно, чтобы это стало реальностью.

TyShawn Guest	#3 27.01.2026 23:23:00 @KHT-Admin, спасибо за дополнительные усилия в этом посте. Я сообщил об этой проблеме в UI еще в декабре, но до сих пор не получил ответа.

KHT-Admin

Guest

27.01.2026 21:18:00

Я просто баловался с этим. Усугубляет ситуацию то, что если выбрать L3 сети (которые определяются как IP-диапазоны) в качестве источника, PBR вообще не создаются. Получается, что устройства/MAC приводят к созданию PBR, но они не работают, а если использовать сети (IP-диапазоны), PBR не создаются. Похоже, это системная проблема, потому что я уже сообщал о багах с OON, когда при выборе L3 сети для правил файрвола IP-диапазон этой L3 сети не вставляется в ipset, связанный с правилом.

TyShawn Guest	#5 27.01.2026 02:02:00 Client - [client MAC] -> L3 Switch - [switch MAC] -> Gateway @KHT-Admin Я думаю, @Prideofpr7 указывал на то, что это пробел в текущей линейке продуктов. Не могу говорить за других, но лично мне непонятно, почему они пошли по пути правил MAC, а не IP.

KHT-Admin

Guest

27.01.2026 01:17:00

«Принцип нетворкинга 101» работает и здесь... Когда клиент отправляет пакет, он проходит вниз по стеку TCP/IP (инкапсуляция) с добавлением MAC-адресов источника и назначения на L2. Когда следующий хоп — в данном случае L3-коммутатор — получает кадр, он снимает L2-обёртку (декапсуляция). Маршрутизатор проверяет IP-адрес и определяет следующий хоп. Затем маршрутизатор передаёт пакет обратно вниз по стеку (инкапсуляция), указывая свой MAC как источник, а MAC следующего хопа как назначение. В итоге получается: Клиент — [MAC клиента] -> L3-коммутатор -> [MAC коммутатора] -> Шлюз. UniFi использует MAC в качестве идентификатора клиента ещё с первых релизов начала 2010-х, поэтому это означает, что клиенты не могут быть целями для правил шлюза, — просто потому, что шлюз никогда не видит MAC клиента. Единственный способ нацеливаться на устройства в L3-сетях — использовать IP-адреса.

Vapurade Guest	#7 26.01.2026 23:34:00 Да, поддерживаю. Переместил vlan с UDMP на Pro XG 10, и теперь не могу направить трафик через VPN. Вот думаю, возможно ли это вообще... Логически: если ты перенёс маршрутизацию ниже по цепочке, с чего бы гейтвею пробрасывать трафик дальше? Не знаю, просто рассуждаю вслух.

Читают тему (гостей: 1)