Permalänk
Medlem

static routes

Tja,

jag är en sån där som vill lära mig mer och mer, oftast genom trial and error tills det fungerar.
jag har precis fått ordning på ett vlan så att alla maskiner på det vlanet går direkt med openvpn till min vpn provider.

jag snodde en guide rakt av och jag tror jag förstår vad själva config-filen gör, men vet inte riktigt hur jag ska configurera den för att den ska göra så som jag vill.

om det är så som jag tror att det är så routas ALL trafik på det vlanet mot 0.0.0.0/0 (dvs alla destinationer) mot interfacet som har openvpn.
detta gör ju att maskiner på samma vlan kan inte snacka med varandra och den kan inte komma åt maskiner på ett annat vlan.

hur får jag den att dels snacka med varandra samt komma åt ett annat vlan?

behöver jag skapa en ny rule med nytt id och sen en ny tabell som hör ihop med den regeln?
kan jag ha en regel som är 0.0.0.0/0 och sedan en till som är 192.168.3.0/24 eller kan jag inte använda 0.0.0.0/0 alls?

{
"firewall": {
"modify": {
"SOURCE_ROUTE": {
"rule": {
"10": {
"action": "modify",
"description": "route vlan 50 to openvpn",
"modify": {
"table": "5"
},
"source": {
"address": "192.168.50.0/24"
}
}
}
}
}
},
"interfaces": {
"ethernet": {
"eth1": {
"vif": {
"50": {
"firewall": {
"in": {
"modify": "SOURCE_ROUTE",
"name": "LAN_IN"
}
}
}
}
}
},
"openvpn": {
"vtun0": {
"config-file": "/config/OpenVPN/se.ovpn"
}
}
},
"protocols": {
"static": {
"table": {
"5": {
"interface-route": {
"0.0.0.0/0": {
"next-hop-interface": {
"vtun0": "''"
}
}
}
}
}
}
},
"service": {
"nat": {
"rule": {
"5004": {
"description": "masq to vpn vtun0",
"destination": {
"address": "0.0.0.0/0"
},
"outbound-interface": "vtun0",
"type": "masquerade"
}
}
}
}
}

Dold text
Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem

Hej!

jag är inte riktig med hur du har satt upp allting, är det en specifik dator du lagt upp VPN uppkopplingen på eller har du gjort inställningar i Unifi Security gateway?

Kan du länka guiden du använt.

När du försöker kontakta datorer inom lanet, gör du det via IP eller FQDN (datornnamn)?

Om du vill att Vlan ska prata andra lokala lan så är det viktigt att det är separata IP subnät.

Kör du statisk IP-adress på dessa datorer som är inom Vlan.

Visa signatur

AMD Ryzen 9 5900X - Gigabyte Aorus Master 6800xt - Gigabyte B550 Aorus Pro-P - 64Gb@3600Mhz - 980 PRO, 970 EVO 2TB

Permalänk
Medlem

@Zatrec: https://community.ui.com/questions/USG-Route-VLAN-over-OpenVP...

det är confat i USG på vlan 50, la in .ovpn configfilen på USG. Sen skapade jag denna config.gateway.json som jag la på servern som håller controllern och sen en sköt jag configen till USG.
så alla maskiner som jag lägger på detta vlan går ut på internet via openvpn providern.

jag har testat att komma åt maskinerna via ip inom samma vlan, men det är kört.
olika vlan har olika ip nät.
maskinerna kör dhcp

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Rekordmedlem

Vill du labba för att lära dig utan att riskera att strula i ditt riktiga nätverk så finns det en gratis simulator just för det, GNS3.
https://www.gns3.com/

Visa signatur

R5 5600G, Asus ROG STRIX X470-F Gaming, WD SN850X 2TB, Seasonic Focus+ Gold 650W, Aerocool Graphite v3, Tittar på en Acer ET430Kbmiippx 43" 4K. Lyssnar på Behringer DCX2496, Truth B3031A, Truth B2092A. Har också oscilloskop, mätmikrofon och colorimeter.

Permalänk
Medlem

Lite snabbt

Hittade detta i den guide du skickade:

Visa signatur

AMD Ryzen 9 5900X - Gigabyte Aorus Master 6800xt - Gigabyte B550 Aorus Pro-P - 64Gb@3600Mhz - 980 PRO, 970 EVO 2TB

Permalänk
Medlem

@Zatrec:
Borde bli nåt sånt här då

"protocols": { "static": { "table": { "5": { "interface-route": { "0.0.0.0/0": { "next-hop-interface": { "vtun0": "''" } } } } } } }, "static": { "table": { "5": { "interface-route": { "192.168.60.0/24": { "next-hop-interface": { "eth1.60": "''" } } } } } },

jag måste köra via config-fil, eftersom usg manageras av en controller så kommer allt jag gör direkt i usg försvinna nästa gång jag gör en provision från controllern.

@mrqaffe: ska spana in den där vid tillfälle

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem

@Zatrec:

det jag skrev tidigare blev galet fel och routern hamnade i en provisioning loop.

det här verkar vara korrekt, satte settings via cli och sen exporterade jag dem för att få fram rätt json formatering

"protocols": { "static": { "table": { "5": { "interface-route": { "0.0.0.0/0": { "next-hop-interface": { "vtun0": "''" } }, "192.168.1.0/24": { "next-hop-interface": { "eth1": "''" } }, "192.168.61.0/24": { "next-hop-interface": { "eth1.61": "''" } } } } } } }

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!