Bem-vindo à Comunidade UBNT

USG Pro Configurando a WAN2

Olá pessoal,

Como eu faço para configurar a WAN2, a WAN1 eu acesso por meio do IP 192.168.1.1 LAN1 e 
IP 192.168.2.1 LAN2. Eu preciso de fazer um load balancer para deixar a WAN2 como backup. 

Era para o instalador configurar a estrutura corretamente, mas está travando muito e não tenho muita familiaridade com a linha ubiquiti, onde consigo material para configuração desse serviços e roteamento de Edge Router. Eu sempre usei linux para configurar e iniciei na empresa tem 20 dias. 

firewall {
    all-ping enable
    broadcast-ping disable
    group {
        network-group guest_allow_subnets {
            description "allow subnets for guests"
        }
        network-group guest_restricted_subnets {
            description "restricted subnets for guests"
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name GUEST_IN {
        default-action accept
        description "packets from guest network"
        rule 1 {
            action accept
            description "allow packets to allow subnets"
            destination {
                group {
                    network-group guest_allow_subnets
                }
            }
        }
        rule 2 {
            action drop
            description "drop packets to restricted subnets"
            destination {
                group {
                    network-group guest_restricted_subnets
                }
            }
        }
    }
    name GUEST_LOCAL {
        default-action drop
        description "packets from guest network to gateway"
        rule 1 {
            action accept
            description "allow DNS"
            destination {
                port 53
            }
            protocol udp
        }
        rule 2 {
            action accept
            description "allow ICMP"
            protocol icmp
        }
    }
    name GUEST_OUT {
        default-action accept
        description "packets forwared from intranet"
    }
    name LAN_IN {
        default-action accept
        description "packets from intranet"
    }
    name LAN_LOCAL {
        default-action accept
        description "packets from intranet to gateway"
    }
    name LAN_OUT {
        default-action accept
        description "packets forwared from intranet"
    }
    name WAN_IN {
        default-action drop
        description "packets from internet to intranet"
        rule 1 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from internet to gateway"
        rule 1 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3 {
            action accept
            description "allow SSH"
            destination {
                port 22
            }
            log enable
            protocol tcp
        }
        rule 4 {
            action accept
            description "allow ICMP"
            protocol icmp
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            interface-type pptp
            mss 1412
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 192.168.1.1/24
        duplex auto
        firewall {
            in {
                name LAN_IN
            }
            local {
                name LAN_LOCAL
            }
            out {
                name LAN_OUT
            }
        }
        speed auto
    }
    ethernet eth1 {
        address 192.168.2.1/24
        duplex auto
        firewall {
            in {
                name LAN_IN
            }
            local {
                name LAN_LOCAL
            }
            out {
                name LAN_OUT
            }
        }
        speed auto
    }
    ethernet eth2 {
        address 200.X.X.X/21
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        speed auto
    }
    ethernet eth3 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall disable
    hairpin-nat enable
    lan-interface eth0
    wan-interface eth2
}
service {
    dhcp-server {
        disabled false
        hostfile-update enable
        shared-network-name LAN_192.168.1.0-24 {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 120
                start 192.168.1.6 {
                    stop 192.168.1.254
                }
            }
        }
        shared-network-name LAN_192.168.2.0-24 {
            authoritative disable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 120
                start 192.168.2.6 {
                    stop 192.168.2.254
                }
            }
        }
    }
    dns {
        forwarding {
            cache-size 500
            listen-on eth0
            listen-on eth1
        }
    }
    gui {
        https-port 443
    }
    nat {
        rule 5000 {
            description "MASQ LAN to WAN"
            log disable
            outbound-interface eth2
            protocol all
            source {
                address 192.168.1.0/24
            }
            type masquerade
        }
        rule 5001 {
            description "MASQ VOIP to WAN"
            log disable
            outbound-interface eth2
            protocol all
            source {
                address 192.168.2.0/24
            }
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
}
system {
    config-management {
        commit-revisions 20
    }
    conntrack {
        expect-table-size 2048
        hash-size 32768
        table-size 262144
    }
    gateway-address 200.X.X.X/21
    host-name ubnt
    login {
        user ubnt {
            authentication {
                encrypted-password *************************
            }
            level admin
        }
    }
    name-server 200.X.X.X
    name-server 200.X.X.X
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding disable
        }
    }
    static-host-mapping {
        host-name setup.ubnt.com {
            alias setup
            inet 192.168.1.1
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
        }
    }
    time-zone UTC
}

/* Release version: v4.3.3.4809635.150921.1957 */

Rotulado:

Comentários

  • R4V3RR4V3R 8432 Pontos
    Olá @mlztech, seja bem vindo à comunidade.
    Então, o que você descreve não pode ser feito via interface gráfica nesse roteador, apenas via linha de comando, e isso requer conhecimentos avançados tanto da plataforma EdgeMAX/EdgeOS, como também UniFi.
    Não posso lhe passar tudo por aqui mas em suma, o caminho será assim:
    1) Verificar as configurações de load-balance/failover atuais na interface da controladora, pois não me parecem estar ativas/configuradas; No EdgeOS/EdgeRouter, um passo a passo que poderia ser seguido está descrito aqui: https://help.ubnt.com/hc/en-us/articles/205145990-EdgeRouter-Dual-WAN-Load-Balance-Feature
    2) Após passo 1 pronto, modificar manualmente as configurações de roteamento baseado em política(PBR), uma espécie de mistura do artigo anterior com este aqui: https://help.ubnt.com/hc/en-us/articles/204952274-EdgeRouter-Policy-based-routing-source-address-based-
    Em suma, usa-se uma política de "firewall modify", disponível apenas via linha de comando, para interceptar e modificar o comportamnto de determinado tráfego entrando em determinada interface. O correspondente no iptables seria as tabelas NAT e MANGLE.
    3) Já que alterações manuais via CLI em um USG não são salvas após um reboot, faz-se necessário persistí-las, usando o método descrito aqui: https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

    Boa sorte.
  • R4V3R disse:

    Olá @mlztech, seja bem vindo à comunidade.

    Então, o que você descreve não pode ser feito via interface gráfica nesse roteador, apenas via linha de comando, e isso requer conhecimentos avançados tanto da plataforma EdgeMAX/EdgeOS, como também UniFi.
    Não posso lhe passar tudo por aqui mas em suma, o caminho será assim:
    1) Verificar as configurações de load-balance/failover atuais na interface da controladora, pois não me parecem estar ativas/configuradas; No EdgeOS/EdgeRouter, um passo a passo que poderia ser seguido está descrito aqui: https://help.ubnt.com/hc/en-us/articles/205145990-EdgeRouter-Dual-WAN-Load-Balance-Feature
    2) Após passo 1 pronto, modificar manualmente as configurações de roteamento baseado em política(PBR), uma espécie de mistura do artigo anterior com este aqui: https://help.ubnt.com/hc/en-us/articles/204952274-EdgeRouter-Policy-based-routing-source-address-based-
    Em suma, usa-se uma política de "firewall modify", disponível apenas via linha de comando, para interceptar e modificar o comportamnto de determinado tráfego entrando em determinada interface. O correspondente no iptables seria as tabelas NAT e MANGLE.
    3) Já que alterações manuais via CLI em um USG não são salvas após um reboot, faz-se necessário persistí-las, usando o método descrito aqui: https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

    Boa sorte.
    Conversei com o cara que que montou a estrutura e ele disse que deixou tudo padrão, vou sofrer um pouco aqui até realizar as ações.

    Obrigado pelas dicas.
  • R4V3RR4V3R 8432 Pontos
    Sim, porque o que você quer fazer não é bem padrão no USG, pois não é uma das funcionalidades expostas dele.
    Desta forma, apenas via CLI mesmo e este é um dos motivos pelos quais ainda implanto EdgeRouters ao invés de USGs nos clientes, flexibilidade. ;)
  • R4V3R disse:

    Sim, porque o que você quer fazer não é bem padrão no USG, pois não é uma das funcionalidades expostas dele.

    Desta forma, apenas via CLI mesmo e este é um dos motivos pelos quais ainda implanto EdgeRouters ao invés de USGs nos clientes, flexibilidade. ;)

    Esse é o cenário da rede, a empresa que montou, não quer passar a senha de configuração, o cloudkey vai ter que ser resetado, o USG Pro fica travando toda hora, acabei de receber uma reclamação aqui.

    Vou ter que me virar pra configurar, porque foi contratado uma empresa e ela simplesmente não fez o serviço, agradeço demais pela ajuda porque já me deu uma luz, como nunca tinha mexido em nada da Unifi já dá para fazer uma coisa.


    rede
  • R4V3RR4V3R 8432 Pontos
    Como assim, você não pagou pela configuração? Não está usando um cloud-key que é um recurso seu? Ou um pedaço dessa infra é alugado/comodato?
    Tem algo errado aí, você tem que ter acesso à configuração...
  • R4V3R disse:

    Tá tudo errado sim, foi uma empresa que fez o serviço ±, eles não documentaram a infra e quando eu entrei para empresa, os caras sumiram, eles tem que termina o resto da infra aqui, mas sabe como que é a mentalidade da maioria da galera que mexe com infra, são poucos que compartilham a informação.

    Ele veio aqui uma vez, e fui perguntar as mesas coisas que perguntei aqui, me falou assim: "Gastei mais de 10 mil para aprender a mexer nesses equipamentos".

    Ai eu estou pegando as coisas meio no tranco, já tudo que você me passou, mais um pouco, teve muita coisa que tiver que refazer e estou refazendo o resto.

    Em um futuro pretendo fazer algum treinamento da linha Unifi, pelo menos para os produtos que temos aqui.

    Mas ficou de lição para empresa, se for contratar terceiro, chame alguém que entregue 100% do serviço e de o suporte adequado.

    Te agradeço demais pela contribuição, tenho outros desafios aqui que vou ter que fazer com calma, mas já avancei bastante no problema, agora tenho que investigar travamentos do USG Pro.

    Muito obrigado mais uma vez.


  • R4V3RR4V3R 8432 Pontos
    Olha, quanto você tem de banda de internet aí? Mais de 100Mb? Se não for, recomendo comprar um ER-X que custa 400 reais no máximo, e ir aprendendo com ele, se for necessário resolver um problema de imediato, implante ele até ir conhecendo melhor o USG.
    Sinceramente, desde que coloquei a mão em um roteador EdgeMAX, eu levei exatos 10 meses pra implantar o primeiro em algum cliente, e o USG ainda não implantei nenhum após dois anos, justamente por dar prioridade à flexibilidade do Edgerouter.
    O USG está chegando lá, novos recursos e funcionalidaes saem quase que diariamente, mas a plataforma é um pouquinho amarrada, e quando você precisa de qualquer coisa além do que está disponível na interface, você vai acabar penando e ficando na mão de gente como essa que você descreve.
  • Aqui tenho 60Mb dedicado e 240Mb na NET, mas a empresa na fez o load balance porque falou que a net não aguenta.

    Eu estou estudando e lendo muito sobre as funcionalidades dos dispositivos que temos aqui, vai demorar um pouco pra ficar ter o conhecimento total dos equipamentos, mas pretendo fazer treinamentos para gerenciar todos os devices, essas semana nos resetamos o CloudKey porque a empresa não lembrava a senha que configurou e não tinha backup, é impressionante como um profissional que atua nesse segmento pode ter tal atitude.

    Você sabe me dizer se é possível que o CloudKey exergue o USG passando por um EdgeMAX?
  • R4V3R disse:
    Olha, quanto você tem de banda de internet aí? Mais de 100Mb? Se não for, recomendo comprar um ER-X que custa 400 reais no máximo, e ir aprendendo com ele, se for necessário resolver um problema de imediato, implante ele até ir conhecendo melhor o USG.
    Sinceramente, desde que coloquei a mão em um roteador EdgeMAX, eu levei exatos 10 meses pra implantar o primeiro em algum cliente, e o USG ainda não implantei nenhum após dois anos, justamente por dar prioridade à flexibilidade do Edgerouter.
    O USG está chegando lá, novos recursos e funcionalidaes saem quase que diariamente, mas a plataforma é um pouquinho amarrada, e quando você precisa de qualquer coisa além do que está disponível na interface, você vai acabar penando e ficando na mão de gente como essa que você descreve.
    @R4V3R estou com uma demanda semelhante a essa, onde preciso direcionar uma rede para sair pela wan2. 
    O cenario é o seguinte:
    tenho uma RB3011 mikrotik onde recebo o link de internet e onde esta configurado toda minha VPN para o sistema de captive portal e Wifi Marketing. 
    NA RB tenho as seguintes configuracoes nas Portas: 
    porta 1 - UpLink 
    porta 3 - Vlan Id30 (apenas internet)
    porta 4 - Vlan id40 (saida para captive portal) 

    a porta 3 da RB, esta conectada a porta Wan1 do UsG 
    a porta 4 da RB, esta conectada a porta Wan2 do usg. 

    Tenho configurada as redes:
    Gerencia - 10.20.20.xx 
    Clientes - 10.20.30.xx (Vlan30) 
    Captive Portal- 10.20.40.xx (Vlan40)

    preciso que a rede captive portal saia pela wan2, que é onde esta configurada a vpn para o captive portal... 

    ja temos alguma solucao para o USG? Diariamente vejo atualizações tanto do firmware tanto da controladora. Estou com a ultima versão em todos. 

    Obs.: abaixo do usg na topologia tenho um switch 24p unifi 

    Me ajuda nessa se for possível.

    abraco
  • R4V3RR4V3R 8432 Pontos
    @lauromunizjr, quase um ano depois, a condição ainda é a mesma. Isso apenas pode ser feito via linha de comando(CLI) em um USG, OK?
    lauromunizjr
  • R4V3R disse:
    @lauromunizjr, quase um ano depois, a condição ainda é a mesma. Isso apenas pode ser feito via linha de comando(CLI) em um USG, OK?
    Uma pena que se passou um ano e os desenvolvedores ainda não deram uma solução. Nunca configurei unifi por CLI, fazendo essa configuração via CLI ele não salva as mesmas certo? Caso o equipamento seja reiniciado as configurações serão perdidas correto? 
    Nunca configurei por CLI equipamentos unifi, como faço esse tipo de configuração específica? 
    obrigado pela ajuda de sempre @R4V3R
  • UI-SamuelUI-Samuel 851 Pontos
    editado agosto 2018
    As configurações via linha de comando no USG não são persistentes, ou seja, elas realmente são perdidas durante o reboot se você não registrá-las em um arquivo específico. Você tem que criar um arquivo denominado config.gateway.json e inserir essas configurações manualmente para não perdê-las. No link abaixo você encontra o guideline de como fazer isso:

    https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

    Observação: O USG foi pensado para ser simples e fácil de configurar através da interface gráfica do software UniFi Controller, por exemplo para realizar configurações de roteamento inter-VLAN, VPNs, balanceamento de dois links de Internet, etc. Você pode encontrar mais informações sobre essas configurações no artigo abaixo publicado em nosso blog. No entanto, o "preço" que se paga pela grande facilidade trazida na interface gráfica é que alguns recursos avançados precisam ser realizados através da linha de comando, pelo menos até que seja encontrado um caminho para "traduzir" essa complexidade em simplicidade - algo que a UBNT sabe fazer como ninguém. Apesar dos pesares, esse detalhe não chega a ser tão grave se partirmos do princípio de que boa parte dos recursos avançados serão configurados por pessoas especializadas. A UBNT vem trabalhando muito forte em adicionar cada vez mais funcionalidades avançadas através da interface gráfica do UniFi Controller. 

    - UniFi Security Gateway (USG): Conhecendo em Detalhes os Roteadores e Firewalls da Solução UniFi
Entre ou Registre-se para fazer um comentário.