Change background image

USG внутри локальной сети

Тема в разделе 'Маршрутизаторы', создана пользователем Алексей Герасимов, 11 май 2017.

  1. Алексей Герасимов

    Алексей Герасимов новичок

    Регистрация:
    11 май 2017
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Коллеги, здравствуйте.
    Подскажите пожалуйста по настройке UniFi Controller в вопросе маршрутизации.
    Есть локальная сеть Ссылки могут видеть только зарегистрированные пользователи. Войти или Зарегистрироваться
    В эту локальную сеть воткнут USG, ему назначен адрес 192.168.8.100 (WAN)
    После USG, в LAN воткнут простой свитч, и через него проходят тарелки AP-AC и сервер UniFi Controller. В LAN раздаётся сеть Ссылки могут видеть только зарегистрированные пользователи. Войти или Зарегистрироваться. Серверу назначен адрес 192.168.16.2. Сам USG соответственно 192.168.16.1.
    Задача в том, чтобы из сети Ссылки могут видеть только зарегистрированные пользователи. Войти или Зарегистрироваться можно было SSH подключаться к UniFi Controller - 192.168.16.2.
    Помогите пожалуйста разобраться с роутами и firewall на стороне контроллера.
    С нашего корневого маршрутизатора я пробросил пакеты на 192.168.8.100, но когда трассирую 192.168.16.2, трассировка доходит до 192.168.8.100 и замолкает, складывается ощущение что не приходит обратка.
    Но разобраться с firewall Контроллера я не могу, там столько всего понапичкано, все эти WAN IN, WAN OUT, WAN LOCAL и.т.д., голова кругом.
    Прошу помощи в настройке этого firewall.
    Большое спасибо!
     
  2. dimacbz

    dimacbz знающий

    Регистрация:
    16 июн 2014
    Сообщения:
    453
    Симпатии:
    73
    Баллы:
    28
    Я так понимаю, что: USG, ему назначен адрес 192.168.8.100 (WAN) - это 2-ой маршрутизатор?
    1-ый вы как используете? Если никак, то на 1-ом DMZ на 192.168.8.100
    Вообще не понял немного задачу. Опишите более подробно, что вы хотите и если можно со скриншотами настроек.
    По микротику настройки ROUTES - для того, чтобы подсети видели друг друга:
    1-ый роутер:
    Dst.Address: 192.168.16.0/24 - подсеть 2-го роутера
    Gateway: 172.16.30.1 - шлюз
    Pref.Source: 192.168.8.1 - отправитель (1-ый роутер)
    2-ой роутер:
    Dst.Address: 192.168.8.0/24 - подсеть 1-го роутера
    Gateway: 172.16.30.2 - шлюз
    Pref.Source: 192.168.16.1 - отправитель (2-ой роутер)

    Что-то немного сам запутался. Через некоторое время поправлю текст)

    Попробуйте на СЕРВЕРЕ - куда надо подключаться по SSH указать шлюз 1-го роутера в настройках сетевой.


    Ссылки могут видеть только зарегистрированные пользователи. Войти или Зарегистрироваться
     
    Последнее редактирование: 11 май 2017
  3. Алексей Герасимов

    Алексей Герасимов новичок

    Регистрация:
    11 май 2017
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Да, Вы правильно поняли.
    - Первый (корневой) маршрутизатор раздаёт сеть 192.168.8.0/24, он как Вы правильно угадали MikroTik. Задач у него много - офисная локальная сеть, vpn`ы, vlan`ы и пр. боевые задачи корневого маршрутизатора.
    - USG (второй маршрутизатор) воткнут в сеть первого маршрутизатора (в офисную локальную сеть) и ему назначен адрес на WAN - 192.168.8.100
    - USG внутри себя раздаёт сеть - 192.168.16.0/24. В его LAN порт подключен простой дешёвый коммутатор и к коммутатору подключены Wi-Fi блины AP-AC и сервер с установленным UniFi Controller. То есть, получается отдельная подсеть внутри офисной сети только для Wi-Fi пользователей.
    - Но так как сервер с UniFi Controller находится в подсети 192.168.16.0/24, а все рабочие компы в сети 192.168.8.0/24, соответственно мне с моего компа нужен доступ к UniFi Controller у которого сейчас адрес 192.168.16.2
    - И вот я не могу побороть маршрутизацию, чтобы с моего компа, у которого адрес 192.168.8.50, заходить на WEB-морду контроллера у которого адрес 192.168.16.2

    С корневого маршрутизатора (192.168.8.1) я пробросил пакеты на 192.168.8.100 (WAN USG), но когда делаю трассировку на 192.168.16.2 всё останавливается на 192.168.8.100.
    И тут у меня складываются ощущения что необходимо добавлять какие-то правила в разделе Firewall самого UniFi Controller, но поладить с тем FireWall не могу, из-за чего и прошу помощи :(
     
  4. Алексей Герасимов

    Алексей Герасимов новичок

    Регистрация:
    11 май 2017
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Коллеги, вопрос открыт.
    Объясните пожалуйста как работать с Firewall на UniFi Controller?
     
  5. dimacbz

    dimacbz знающий

    Регистрация:
    16 июн 2014
    Сообщения:
    453
    Симпатии:
    73
    Баллы:
    28
    На микротике добавьте маршрут попробуйте: 192.168.16.0/24 mask 255.255.255.0 192.168.8.100
     
  6. Алексей Герасимов

    Алексей Герасимов новичок

    Регистрация:
    11 май 2017
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Здравствуйте.
    Этот маршрут уже прописан. Трассирую 192.168.16.2, останавливается на 192.168.8.100. Такое ощущение, что сам UniFi Controller не даёт обратку.
     
  7. dimacbz

    dimacbz знающий

    Регистрация:
    16 июн 2014
    Сообщения:
    453
    Симпатии:
    73
    Баллы:
    28
    Попробуйте на USG указать Gateway 1-ого роутера или прописать маршрутизацию на USG (этого роутера никогда не было в пользовании).
     
  8. Алексей Герасимов

    Алексей Герасимов новичок

    Регистрация:
    11 май 2017
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Так а у него gateway в любом случае 192.168.8.1, иначе он не работал бы.
    Сам USG конфигурировать практически невозможно, у него WEB-интерфейс состоит из 3 строк :)
    Все настройки USG делаются через UniFi Controller (его можно скачать и с Вашего сайта и с официального), а там firewall какой-то шипко умный, по этому и беспокою с просьбой о помощи.
     
  9. dimacbz

    dimacbz знающий

    Регистрация:
    16 июн 2014
    Сообщения:
    453
    Симпатии:
    73
    Баллы:
    28
    Выкладывайте скрин firewall или доступ удаленный в лс
    Вам нужно скорее всего в настройках firewall указать, что вы разрешаете доступ из 192.168.8.0/24 и обратно.
    А из сети 192.168.8.0/24 пингуются другие устройства в сети 192.168.16.0/24?
     
    Последнее редактирование: 18 май 2017

Поделиться этой страницей