UniFi Security Gateway (При подключенном UniFi Controller)

d666anggel edited this page Nov 5, 2018 · 2 revisions

Настройка под решение UniFi Security Gateway отличается от решения с Ubiquiti EdgeRouters по той причине, что все изменения, которые вы внесете непосредственно в конфигурации на самом устройстве будут в дальнейшем перезаписаны при проведении синхронизации с UniFi Controller. Для того, чтобы избежать подобного, предлагается следующая схема.

  1. Необходимо активировать доступ по SSH к устройствам, подсоединенным к контроллеру. Делается это в пункте меню:

    Settings > Site > Device Authentication > SSH Authentication

    Enable SSH

  2. После принятия изменений, заходим непосредственно на сам UniFi Security Gateway (USG) по SSH с помощью консоли. В консоли авторизуемся с логином и паролем из первого шага. Загружаем файл настроек zaborona-help.ovpn на роутер следующей командой:

    curl https://zaborona.help/zaborona-help.ovpn --output /config/zaborona-help.ovpn

    И выходим из консоли командой:

    exit

  3. Теперь необходимо открыть папку с конфигурацией текущего сайта UniFi Controller.

    Путь к ней выглядит примерно следующим образом: <unifi_base>/data/sites/<site_ID>.

    Подробнее про <unifi_base> можно прочитать в инструкции: UniFi - Where is <unifi_base>?

    По умолчанию данная папка находится по пути %userprofile%/Ubiquiti UniFi/data/sites/<site_ID>

    Ваш <site_ID> можно найти в адресной строке браузера. Например, в ссылке: https://127.0.0.1:8443/manage/s/ceb1m27d/dashboard - этот идентификатор ceb1m27d.

  4. В папке %userprofile%/Ubiquiti UniFi/data/sites/<site_ID> необходимо создать пустой текстовый файл config.gateway.json.

    Открываем этот файл блокнотом и помещаем внутрь него следующее содержимое:

{
    "interfaces":{
        "openvpn":{
            "vtun0":{
                "config-file":"/config/zaborona-help.ovpn"
            }
        }
    },
    "service":{
        "nat":{
            "rule":{
                "6666":{
                    "description":"zaborona-help.ovpn",
                    "outbound-interface":"vtun0",
                    "protocol":"all",
                    "type":"masquerade"
                }
            }
        }
    }
}

Здесь стоит обратить внимание на следующий момент. Для идентификатора правила NAT выбран номер 6666, по умолчанию он нигде не занят. Но если с NAT производились какие-то операции, то стоить проверить, чтобы небыло конфликта по ID.

  1. Сохраняем изменения в файле config.gateway.json и возвращаемся в UniFi Controller. Необходимо загрузить изменения в конфигурации на USG. Для этого заходим в Devices, выбираем наш роутер и справа выбираем Config > Manage device > Force provision и нажимаем кнопку Provision:

    Provision

    Если код был точно скопирован, то можем проверить доступ на сайты vk.com или music.yandex.ru

  2. При желании, закрываем доступ по SSH к устройствам контроллера (пункт 1).

Если по какой-то причине ничего не заработало, стоит проверить лог контроллера на выданные ошибки. Подробнее про файл config.gateway.json можно прочитать на сайте: UniFi - USG Advanced Configuration


Протестовано з UniFi SDN Controller 5.6.40 LTS for Windows и UniFi Security Gateway 3P ver. 4.4.29.5124210

Clone this wiki locally
You can’t perform that action at this time.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session.
Press h to open a hovercard with more details.