Доступ к админке ubiquiti nanostation loco m2 за pfsense



  • Доброго времени суток!

    Подскажите, две ubiquiti nanostation loco m2 работают в режиме моста, имеют ip адреса 192.168.1.20 и 192.168.1.21, одна из них приходит в wan pfsense. Из локалки pfsense (192.168.1.XXX) не могу попасть в админку.

    Собственно вопрос - как попасть?
    Спасибо заранее



  • я так попадаю "https://192.168.1.20"

    эмм, у вас в pfsense 2 сетвые:
    LAN: 192.168.1.0/24
    WAN: ВНЕШНИЙ_IP (но адреса устройств из диапазона LAN)

    Возможно пакеты, предназначенные для ubiquiti-устройств, просто не попадают на wan интерфес?
    Может поменять адреса устройств на 192.168.0.20 и 192.168.0.21 соответственно?



  • Может для этого что-то специально надо было настраивать в pfsense?

    у меня "Веб-страница недоступна" по https://192.168.1.20



  • Нарисуйте схему коммутации вашего оборудования, т.к. Не возможно так дать какой либо правильный совет. Как я вас понял вам нужно снаружи, т.е. Обращаяясь на адрес ван интерфейса, попадать на устройство подключенное к лан порту? Тогда настройте правила проброски портов, NAT.



  • @flagman:

    Нарисуйте схему коммутации вашего оборудования, т.к. Не возможно так дать какой либо правильный совет. Как я вас понял вам нужно снаружи, т.е. Обращаяясь на адрес ван интерфейса, попадать на устройство подключенное к лан порту? Тогда настройте правила проброски портов, NAT.

    Схема




  • Если я все правильно понял, то у вас происходит все приблизительно так как я дорисовал на вашей картинке.
    Думаю выхода 2:
    1. Изменить адреса устройств на адреса из подсети отличной от LAN. (допустим 10.0.0.20 и 10.0.0.21)
    2. можно попробовать сделать так:

    создаем алиас my_ubqt = 192.168.1.20, 192.168.1.21

    создаем правило в фаерволе:
    src  LAN_NET
    port any
    dst my_ubqt
    port https
    gateway WAN

    то есть явно указать через какой шлюз отправлять пакеты предназначенные для wifi-устройств.
    Но будет-ли так работать я не знаю ) Нужно пробовать )

    З.Ы. Я бы адреса устройств изменил - это правильней и проще )




  • Укажите какой ip присвоем wan порту и какой присвоен lan порту? Каким образом сконфигурирован wan порт? Как он получает доступ в и-нет? И-нет вообще есть на lan порте?



  • Когда лан и ван настроены на одну подсеть это не есть гуд, может не работать…



  • 1. Сменить адресацию в WAN-сети на отличную от 192.168.1.х
    2. Отключить блокирование "серых" сетей на WAN в настройках fw.



  • @MrIgor:

    Если я все правильно понял, то у вас происходит все приблизительно так как я дорисовал на вашей картинке.
    Думаю выхода 2:
    1. Изменить адреса устройств на адреса из подсети отличной от LAN. (допустим 10.0.0.20 и 10.0.0.21)
    2. можно попробовать сделать так:

    создаем алиас my_ubqt = 192.168.1.20, 192.168.1.21

    создаем правило в фаерволе:
    src  LAN_NET
    port any
    dst my_ubqt
    port https
    gateway WAN

    то есть явно указать через какой шлюз отправлять пакеты предназначенные для wifi-устройств.
    Но будет-ли так работать я не знаю ) Нужно пробовать )

    З.Ы. Я бы адреса устройств изменил - это правильней и проще )

    я правильно понял - адреса ubiquiti сменить? Достаточно ли будет сменить их на 192.168.0.20 и 192.168.0.21?



  • @werter:

    1. Сменить адресацию в WAN-сети на отличную от 192.168.1.х
    2. Отключить блокирование "серых" сетей на WAN в настройках fw.

    2. Отключена, но при текущих настройках не работает, буду пробовать



  • @flagman:

    Укажите какой ip присвоем wan порту и какой присвоен lan порту? Каким образом сконфигурирован wan порт? Как он получает доступ в и-нет? И-нет вообще есть на lan порте?

    ip на wan белый динамический, получает по dhcp. Интернет есть на lan - с этим нет проблем.



  • Сменить адресацию в WAN-сети на отличную от 192.168.1.х

    Если это невозможно - сменить адресацию на LAN (за pf). Любой из этих вариантов - обязателен!

    После этого создаете на WAN pfsense Virtual IP со свободным адресом из сети Ubuquiti. После - в Outbond NAT создаете новое правило на WAN, NAT-ите на Virtual IP свою LAN-подсеть и ставите его самым первым (возможно прийдется переключиться в Manual NAT). И в fw на LAN создаете разрешающее правило из LAN subnet к адресам Ubuquiti.



  • @werter:

    Сменить адресацию в WAN-сети на отличную от 192.168.1.х

    Я так понимаю это простейший способ. То есть надо сменить, например, на 192.168.0.x, далее на локальной машине сменить ip на эту же подсеть и пробовать попасть на ubiquiti?



  • То есть надо сменить, например, на 192.168.0.x

    Лучше на 10.10.100.х

    далее на локальной машине сменить ip на эту же подсеть

    Да, можно руками, а можно настроить DHCP на pf и получать ip-адреса автоматом.



  • Да, можно руками, а можно настроить DHCP на pf и получать ip-адреса автоматом.

    А на какую подсеть настроить по DHCP в таком случае? Сейчас настроено DCHP но на 192.168.1.x, и соответственно не могу попасть на  192.168.1.21.



  • @neexon:

    Да, можно руками, а можно настроить DHCP на pf и получать ip-адреса автоматом.

    А на какую подсеть настроить по DHCP в таком случае? Сейчас настроено DCHP но на 192.168.1.x, и соответственно не могу попасть на  192.168.1.21.

    А подумать ?

    P.s. Ищите цикл статей "Сети для самых маленьких". Сам его читаю.



  • А подумать ?

    P.s. Ищите цикл статей "Сети для самых маленьких". Сам его читаю.

    Поменял в обоих ubiquiti на 10.10.100.10 и 10.10.100.11. Меняю вручную на локальной машине на 10.10.100.X. Попасть все равно не могу.
    Отключены блокировки сетей на WAN и LAN в pfsense.

    Что я делаю не так?



  • В настройке wan сними галку "Блокировать частные сети"
    В pf:
    Block private networks
    When set, this option blocks traffic from IP addresses that are reserved for private networks as per RFC 1918 (10/8, 172.16/12, 192.168/16) as well as loopback addresses (127/8).  You should generally leave this option turned on, unless your WAN network lies in such a private address space, too.
    Собственно, сеть 10/8 блокируется файрволом



  • Cкрины правил fw на LAN, WAN



  • @alterra755:

    В настройке wan сними галку "Блокировать частные сети"
    В pf:
    Block private networks
    When set, this option blocks traffic from IP addresses that are reserved for private networks as per RFC 1918 (10/8, 172.16/12, 192.168/16) as well as loopback addresses (127/8).  You should generally leave this option turned on, unless your WAN network lies in such a private address space, too.
    Собственно, сеть 10/8 блокируется файрволом

    Галки сняты и на wan и на lan. Не работает все равно



  • @werter:

    Cкрины правил fw на LAN, WAN






  • Покажите настройки WAN pfsense.



  • Поменял в обоих ubiquiti на 10.10.100.10 и 10.10.100.11.

    Правильно

    Меняю вручную на локальной машине на 10.10.100.X.

    Что меняете?

    Можно скрины настроек wan и lan интерфейсов?

    Устройства пингуются с машин за pfsense?



  • @werter:

    Покажите настройки WAN pfsense.




  • @MrIgor:

    Поменял в обоих ubiquiti на 10.10.100.10 и 10.10.100.11.

    Правильно

    Меняю вручную на локальной машине на 10.10.100.X.

    Что меняете?

    Можно скрины настроек wan и lan интерфейсов?

    Устройства пингуются с машин за pfsense?

    Меняю адрес на 10.10.100.13. Не пингуется  - "Заданный узел недоступен"






  • можно вас попросить вот такое сделать:




  • @neexon:

    @werter:

    Покажите настройки WAN pfsense.

    Какой адрес приходит на WAN - белый или серый ?



  • @werter:

    @neexon:

    @werter:

    Покажите настройки WAN pfsense.

    Какой адрес приходит на WAN - белый или серый ?

    Белый динамический



  • @MrIgor:

    можно вас попросить вот такое сделать:

    Не пингуется




  • На LAN и WAN должна быть РАЗНАЯ адресация. Это понятно ? На WAN на трогайте свое DHCP, если вы уверены, что у вас там "белая" динамика. Создавайте на WAN Virtual IP с адресом из подсети Ubi. Затем в правилах Outbond NAT  - правило NATа с этим созданным virtual ip, где в destination будет подесть ubi. Это правило должно быть выше всех в Outbond NAT.

    И выкладывайте здесь скрины настроек virtual ip, outbond nat

    P.s. Ищите цикл статей "Сети для самых маленьких"

    P.p.s. Покажите скрин дефолтной страницы, к-ая сразу при входе в pfsense.


Log in to reply