Доступ к админке ubiquiti nanostation loco m2 за pfsense
-
Доброго времени суток!
Подскажите, две ubiquiti nanostation loco m2 работают в режиме моста, имеют ip адреса 192.168.1.20 и 192.168.1.21, одна из них приходит в wan pfsense. Из локалки pfsense (192.168.1.XXX) не могу попасть в админку.
Собственно вопрос - как попасть?
Спасибо заранее -
я так попадаю "https://192.168.1.20"
эмм, у вас в pfsense 2 сетвые:
LAN: 192.168.1.0/24
WAN: ВНЕШНИЙ_IP (но адреса устройств из диапазона LAN)Возможно пакеты, предназначенные для ubiquiti-устройств, просто не попадают на wan интерфес?
Может поменять адреса устройств на 192.168.0.20 и 192.168.0.21 соответственно? -
Может для этого что-то специально надо было настраивать в pfsense?
у меня "Веб-страница недоступна" по https://192.168.1.20
-
Нарисуйте схему коммутации вашего оборудования, т.к. Не возможно так дать какой либо правильный совет. Как я вас понял вам нужно снаружи, т.е. Обращаяясь на адрес ван интерфейса, попадать на устройство подключенное к лан порту? Тогда настройте правила проброски портов, NAT.
-
Нарисуйте схему коммутации вашего оборудования, т.к. Не возможно так дать какой либо правильный совет. Как я вас понял вам нужно снаружи, т.е. Обращаяясь на адрес ван интерфейса, попадать на устройство подключенное к лан порту? Тогда настройте правила проброски портов, NAT.
Схема
-
Если я все правильно понял, то у вас происходит все приблизительно так как я дорисовал на вашей картинке.
Думаю выхода 2:
1. Изменить адреса устройств на адреса из подсети отличной от LAN. (допустим 10.0.0.20 и 10.0.0.21)
2. можно попробовать сделать так:создаем алиас my_ubqt = 192.168.1.20, 192.168.1.21
создаем правило в фаерволе:
src LAN_NET
port any
dst my_ubqt
port https
gateway WANто есть явно указать через какой шлюз отправлять пакеты предназначенные для wifi-устройств.
Но будет-ли так работать я не знаю ) Нужно пробовать )З.Ы. Я бы адреса устройств изменил - это правильней и проще )
-
Укажите какой ip присвоем wan порту и какой присвоен lan порту? Каким образом сконфигурирован wan порт? Как он получает доступ в и-нет? И-нет вообще есть на lan порте?
-
Когда лан и ван настроены на одну подсеть это не есть гуд, может не работать…
-
1. Сменить адресацию в WAN-сети на отличную от 192.168.1.х
2. Отключить блокирование "серых" сетей на WAN в настройках fw. -
Если я все правильно понял, то у вас происходит все приблизительно так как я дорисовал на вашей картинке.
Думаю выхода 2:
1. Изменить адреса устройств на адреса из подсети отличной от LAN. (допустим 10.0.0.20 и 10.0.0.21)
2. можно попробовать сделать так:создаем алиас my_ubqt = 192.168.1.20, 192.168.1.21
создаем правило в фаерволе:
src LAN_NET
port any
dst my_ubqt
port https
gateway WANто есть явно указать через какой шлюз отправлять пакеты предназначенные для wifi-устройств.
Но будет-ли так работать я не знаю ) Нужно пробовать )З.Ы. Я бы адреса устройств изменил - это правильней и проще )
я правильно понял - адреса ubiquiti сменить? Достаточно ли будет сменить их на 192.168.0.20 и 192.168.0.21?
-
1. Сменить адресацию в WAN-сети на отличную от 192.168.1.х
2. Отключить блокирование "серых" сетей на WAN в настройках fw.2. Отключена, но при текущих настройках не работает, буду пробовать
-
Укажите какой ip присвоем wan порту и какой присвоен lan порту? Каким образом сконфигурирован wan порт? Как он получает доступ в и-нет? И-нет вообще есть на lan порте?
ip на wan белый динамический, получает по dhcp. Интернет есть на lan - с этим нет проблем.
-
Сменить адресацию в WAN-сети на отличную от 192.168.1.х
Если это невозможно - сменить адресацию на LAN (за pf). Любой из этих вариантов - обязателен!
После этого создаете на WAN pfsense Virtual IP со свободным адресом из сети Ubuquiti. После - в Outbond NAT создаете новое правило на WAN, NAT-ите на Virtual IP свою LAN-подсеть и ставите его самым первым (возможно прийдется переключиться в Manual NAT). И в fw на LAN создаете разрешающее правило из LAN subnet к адресам Ubuquiti.
-
Сменить адресацию в WAN-сети на отличную от 192.168.1.х
Я так понимаю это простейший способ. То есть надо сменить, например, на 192.168.0.x, далее на локальной машине сменить ip на эту же подсеть и пробовать попасть на ubiquiti?
-
То есть надо сменить, например, на 192.168.0.x
Лучше на 10.10.100.х
далее на локальной машине сменить ip на эту же подсеть
Да, можно руками, а можно настроить DHCP на pf и получать ip-адреса автоматом.
-
Да, можно руками, а можно настроить DHCP на pf и получать ip-адреса автоматом.
А на какую подсеть настроить по DHCP в таком случае? Сейчас настроено DCHP но на 192.168.1.x, и соответственно не могу попасть на 192.168.1.21.
-
Да, можно руками, а можно настроить DHCP на pf и получать ip-адреса автоматом.
А на какую подсеть настроить по DHCP в таком случае? Сейчас настроено DCHP но на 192.168.1.x, и соответственно не могу попасть на 192.168.1.21.
А подумать ?
P.s. Ищите цикл статей "Сети для самых маленьких". Сам его читаю.
-
А подумать ?
P.s. Ищите цикл статей "Сети для самых маленьких". Сам его читаю.
Поменял в обоих ubiquiti на 10.10.100.10 и 10.10.100.11. Меняю вручную на локальной машине на 10.10.100.X. Попасть все равно не могу.
Отключены блокировки сетей на WAN и LAN в pfsense.Что я делаю не так?
-
В настройке wan сними галку "Блокировать частные сети"
В pf:
Block private networks
When set, this option blocks traffic from IP addresses that are reserved for private networks as per RFC 1918 (10/8, 172.16/12, 192.168/16) as well as loopback addresses (127/8). You should generally leave this option turned on, unless your WAN network lies in such a private address space, too.
Собственно, сеть 10/8 блокируется файрволом -
Cкрины правил fw на LAN, WAN
