Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Unifi Dream Router – ограничить S2S трафик одной локальной сети

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Понимание маршрутизации и правил брандмауэра
  4. 2. Настройка без маршрутизации
  5. 3. Использование статических маршрутов
  6. 4. Настройка брандмауэра
  7. 5. Проверка и диагностика
  8. Заключение

Вопрос или проблема

У меня есть маршрутизатор Unifi Dream, настроенный с 2 локальными сетями. Сеть 1 – это моя домашняя сеть (192.168.1.0/24), а сеть 2 – это моя домашне-деловая сеть (172.16.1.0/24).

Я настроил VPN соединение между сайтами (S2S) с удаленной лабораторией, используя IPSec, маршрутизированную сеть, IKE2 и т.д. Лаборатория находится в сети 10.253.0.0/24.

(Лаборатория) 10.253.0.0/24 <--S2S--> dreamrouter <---> 172.016.1.0/24 (сеть 2 - бизнес)
                                          <xxx> 192.168.1.0/24 (сеть 1 - дом)

Я хочу убедиться, что трафик лаборатории может достичь только сети 172 и не может достичь сети 192.

Что я обнаружил:

  • нет типа брандмауэра, который мог бы нацелиться на S2S. Трафик S2S “появляется” в локальной сети без фильтрации.
  • в часто задаваемых вопросах на сайте Ubiquiti говорится следующее, что может подразумевать, что у нас есть мало контроля над правилами брандмауэра для S2S

Мне нужно вручную создать правила брандмауэра или статические маршруты для VPN?
Нет, они создаются автоматически.
ссылка: https://help.ui.com/hc/en-us/articles/360002426234-UniFi-Gateway-Site-to-Site-IPsec-VPN

Что я попробовал до сих пор:

  • настроить группу IP с 10.253.0.0/24
  • настроить брандмауэр с типом LAN IN и отбрасывать все, что исходит из группы IP в сеть назначения 192

К сожалению, я могу войти в удаленную лабораторию и пинговать серверы как в сетях 192, так и 172, поэтому вышеуказанное не работает, чтобы заблокировать 10.253.0.x к 192.168.1.x.

Есть ли другой способ нацелиться на удаленную лабораторию в конфигурации брандмауэра?

Спасибо, Марк.

Ответ или решение

Ограничение трафика S2S на локальную сеть с использованием Unifi Dream Router

Ваша задача состоит в том, чтобы ограничить доступ трафика из удаленной лаборатории (10.253.0.0/24) только к вашей бизнес-сети (172.16.1.0/24), исключая доступ к домашней сети (192.168.1.0/24). Учитывая вашу конфигурацию и ограничения, связанные с настройкой брандмауэра на Unifi Dream Router, давайте разберем несколько альтернативных решений.

1. Понимание маршрутизации и правил брандмауэра

Первое, что нужно учитывать — это факты по вашей VPN. Как вы уже верно заметили, Unifi автоматически создает маршруты для трафика VPN, что делает задачу более сложной. Однако существует способ ограничить доступ с использованием интерфейсов и правил брандмауэра.

2. Настройка без маршрутизации

Так как вы не можете напрямую настраивать правила брандмауэра для S2S трафика, вам потребуется воспользоваться API или CLI (если доступно) для настройки более детализированных правил. Если API недоступен, рассмотрим следующий подход:

  • Создайте отдельные VLAN для каждой сети: Это позволит изолировать сетевой трафик. Вы можете создать VLAN для обоих ваших локальных сетей и настроить маршрутизацию, обеспечивающую возможность взаимодействия только между нужными VLAN-ами.

3. Использование статических маршрутов

Если ваша San-униципальная сеть и гости имеют разные VLAN, вы всегда можете использовать статические маршруты для управления трафиком между ними:

  • Определите различные маршруты для 192.168.1.0/24 и 172.16.1.0/24, чтобы обеспечить доступ только к бизнес-сети.
  • Рассмотрите возможность запрета трафика от 10.253.0.0/24 к 192.168.1.0/24 на уровне маршрутов.

4. Настройка брандмауэра

Если ваш маршрутизатор поддерживает создание правила для ограничения доступа к определенным диапазонам IP адресов:

  • Создайте группу IP для вашей удаленной лаборатории (10.253.0.0/24).
  • Настройте правила брандмауэра, которые будут запрещать любые соединения от этой группы к 192.168.1.0/24, для всех входящих соединений.

5. Проверка и диагностика

После внесения изменений:

  • Проверьте настройки с помощью команд ping и traceroute.
  • Используйте инструменты мониторинга сети, чтобы гарантировать, что трафик не попадает на 192.168.1.0/24.

Заключение

Настройка безопасности сетевой инфраструктуры требует внимательного планирования и тестирования, особенно когда речь идет о VPN и межсетевых взаимодействиях. Хотя Unifi может иметь определенные ограничения, рассмотренные методы позволят вам значительно улучшить контроль над сетевым трафиком и обеспечат безопасность вашей домашней и бизнес-сетей.

Если у вас возникнут дополнительные вопросы или нужна помощь в конкретных настройках, не стесняйтесь обращаться к профессионалам или сообществу Ubiquiti для получения дальнейшей поддержки.

firewall site-to-site-vpn ubiquiti unifi
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности