UCG Ultraを買ったばかりで、全体的に満足しています。すべてのポートが開いているトンネルを設定し、そのうちの一つを内部ネットワークのクライアントにフォワードしたいのですが、ポートフォワーディングフォームではWAN、WAN2、Bothしか選べません。なぜトンネルインターフェースを選べないのですか?何か見落としているのでしょうか、それともUnifi OSの基本機能に欠けているのでしょうか?
DNATをポートフォワーディングの代替として探そうとしましたが、それも欠落しています?
こんにちは! r/Ubiquitiへ投稿していただきありがとうございます。
このサブレディットは、Ubiquiti製品の世界に興味がある、または深く関わりたいと考えている人々への非公式の技術サポートを提供しています。 投稿の詳細について十分に説明していない場合は、時間をかけて編集し、有益な詳細をできるだけ追加してください。
サイドバーのルールを読み理解してください。違反する投稿やコメントは削除されます。 話題と関係のない投稿は、サブレディットのトップにスティッキーされている週刊のオフトピックスレッドに投稿してください。
誤情報を拡散している、他者を誤解させようとしている、その他不適切な行動を見つけた場合は通報してください!
私はボットであり、この操作は自動的に行われました。質問や懸念がある場合は、このサブレディットのモデレーターに連絡してください。
トンネルと呼ぶのがWireguardなどのVPNサーバーを設定している場合は、ファイアウォールルールを使用して、そのトラフィックを宛先のサブネットやIPグループにルーティングします。
私は、ポートフォワーディングはWANインターフェースからの開かれたポートにのみ適用されると思います。
Unifi特有のことではありませんが、ポートフォワーディングは通常、NATの状況で使用され、パブリックIPアドレスを取って特定のTCPポートだけをクライアントにフォワードします。VPNトンネルが稼働している場合、NATは不要で、レイヤー3のルーティングだけになるはずです。適切なACLやポリシーのステートメントを作成して、そのトラフィックを許可する必要があるでしょう。
VPNをプロバイダーと連携してクライアントとして設定しています。一部のデバイスをトンネル経由でルーティングし、Linux ISOを取得したいです。また、トレントのクライアントのポートもトンネルを通じて公開したいです。
静的ルートだけではなく、インターネットトラフィックの一部だけをルーティングしたいので、特定のデバイスのポリシールートを設定したいです。
これについては、「詳細な」ファイアウォールルールやポリシーで設定できるはずです。類似の構成をしているもので、VLANを設け、そのVLANからのすべてのトラフィックをVPNクライアントインターフェースにルーティングし、そのVLANからメインのWANインターフェースへのすべてのトラフィックをドロップするルールを作成しています。VPNクライアントインターフェースから特定のデバイスやVLANのトラフィックをルーティングするには、「ポリシーベースルーティング」を使用し、その後、「トラフィックおよびファイアウォールルール」でキルスイッチやその他のトラフィックルールを管理します。
ただし、ポートフォワーディングは、この状況では機能しません。VPNクライアントインターフェースのパブリックIPはトンネルのものなので、サーバー側で設定されている必要があり、そのためルーターのWANやローカルIPネットワークへのフォワードはできません。
私の問題を誤解しているように思います。ローカルクライアントからトンネルインターフェースへのトラフィックをルーティングすることには問題ありません。これはポリシーベースルーティングで簡単に行えます。ただし、INのトラフィックを複数のポートでルーティングし、それをローカルクライアントに向ける解決策が見つかりません。
トラフィックが既に確立/関連していない場合、ゲートウェイはVPNインターフェースへの着信トラフィックをルーティングする方法を持っていません。ポートフォワーディングやDNATの機能が必要です。
今おっしゃっていることは理解しました。ポートフォワーディングは、サーバー側にルールが必要になるため、VPNプロバイダーがそれを許可している必要があります。あなたがVPNのクライアントとして接続している場合、そのフォワーディングは実際のVPNサーバーのWANからあなたのローカルクライアントIPに行われる必要があり、ルーターのWANやローカルIPネットワークからはできません。
これには完全に同意します。トンネルの着信すべては私のクライアントにルーティングされ、そのためすべてのポートがトンネル上に公開されています。Unifiゲートウェイの問題は、すでに確立/関連になっていない場合、着信トラフィックを処理できないことです。
こちらが私の現在動作しているLXCコンテナを使った設定です。ポート34123をトンネルクライアントから別のローカルデバイス(192.168.192.223)にフォワーディングしています。
root@main-tunnel:~# iptables -L -v
Chain INPUT (policy ACCEPT 209M packets, 140G bytes)
pkts bytes target prot opt in out source destination
764 36284 DROP tcp -- tun0 any anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy ACCEPT 319M packets, 153G bytes)
pkts bytes target prot opt in out source destination
327 19996 ACCEPT tcp -- any any anywhere 192.168.192.223 tcp dpt:34123 state NEW,RELATED,ESTABLISHED
0 0 DROP all -- eth1 eth0 anywhere anywhere
0 0 DROP all -- eth1 eth0 anywhere anywhere
0 0 DROP all -- eth1 eth0 anywhere anywhere
0 0 DROP all -- eth1 eth0 anywhere anywhere
しかし、新しいUbiquitiハードウェアでは、すべてのトンネルをサブネットとして扱いたいです。
これを解決しましたか?同じ状況にあり、ピアツーピアのトラフィックをそれにトンネル経由でルーティングしたいです。設定はできていますが、Wireguardインターフェースからp2p VLANへのポートフォワーディングをどうするか分からないです。
今はopenwrtのLXCにtorrentクライアントを入れてNATPMPでポートをリクエストし、そのポートをqbitに設定しています。
Openwrtルーターを完全に排除し、すべてのトラフィックを新しいUnifiゲートウェイにルーティングしたいです。ポリシーベースルーティングでP2P VLANのすべてのトラフィックをWireguardクライアントにルーティングし、公開IPを確認しています。ただし、適切にシード・リーチするためのポートフォワーディングが必要です。