UniFi Security Gateway (При подключенном UniFi Controller) - zhovner/zaborona_help GitHub Wiki
⚠️ Внимание! Данное решение не работает в случае использования failover интерфейса. Т.е. данный вариант работает только при использовании одного интернет-провайдера на первом порту WAN.
Настройка под решение UniFi Security Gateway отличается от решения с Ubiquiti EdgeRouters по той причине, что все изменения, которые вы внесете непосредственно в конфигурации на самом устройстве будут в дальнейшем перезаписаны при проведении синхронизации с UniFi Controller. Для того, чтобы избежать подобного, предлагается следующая схема.
-
Необходимо активировать доступ по SSH к устройствам, подсоединенным к контроллеру. Делается это в пункте меню:
Settings > Site > Device Authentication > SSH Authentication
-
После принятия изменений, заходим непосредственно на сам UniFi Security Gateway (USG) по SSH с помощью консоли. В консоли авторизуемся с логином и паролем из первого шага. Загружаем файл настроек zaborona-help.ovpn на роутер следующей командой:
Подключение к серверам Zaborona.help:
TCP:
`curl https://zaborona.help/openvpn-client-config/srv0.zaborona-help-TCP_maxroutes.ovpn --output /config/srv0.zaborona-help-TCP_maxroutes.ovpn`
либо
UDP:
`curl https://zaborona.help/openvpn-client-config/srv0.zaborona-help-UDP_maxroutes.ovpn --output /config/srv0.zaborona-help-UDP_maxroutes.ovpn`
И выходим из консоли командой:
`exit`
-
Теперь необходимо открыть папку с конфигурацией текущего сайта UniFi Controller.
Путь к ней выглядит примерно следующим образом:
<unifi_base>/data/sites/<site_ID>
.Подробнее про
<unifi_base>
можно прочитать в инструкции: UniFi - Where is <unifi_base>?По умолчанию данная папка находится по пути %userprofile%/Ubiquiti UniFi/data/sites/<site_ID>
Ваш
<site_ID>
можно найти в адресной строке браузера. Например, в ссылке:https://127.0.0.1:8443/manage/s/ceb1m27d/dashboard
- этот идентификатор ceb1m27d. -
В папке %userprofile%/Ubiquiti UniFi/data/sites/<site_ID> необходимо создать пустой текстовый файл config.gateway.json.
Открываем этот файл блокнотом и помещаем внутрь него следующее содержимое:
!Обратите внимание на имя конфига openvpn, которое нужно прописать в соответствии с тем, который Вы загрузили выше!
{
"interfaces": {
"openvpn": {
"vtun0": {
"config-file": "/config/srv0.zaborona-help-TCP_maxroutes.ovpn"
}
}
},
"service": {
"nat": {
"rule": {
"6666": {
"description": "zaborona-help-TCP_maxroutes.ovpn",
"outbound-interface": "vtun0",
"protocol": "all",
"type": "masquerade"
}
}
}
}
}
Здесь стоит обратить внимание на следующий момент. Для идентификатора правила NAT выбран номер 6666, по умолчанию он нигде не занят. Но если с NAT производились какие-то операции, то стоить проверить, чтобы небыло конфликта по ID.
-
Сохраняем изменения в файле config.gateway.json и возвращаемся в UniFi Controller. Необходимо загрузить изменения в конфигурации на USG. Для этого заходим в Devices, выбираем наш роутер и справа выбираем Config > Manage device > Force provision и нажимаем кнопку Provision:
Если код был точно скопирован, то можем проверить доступ на сайты vk.com или music.yandex.ru
-
При желании, закрываем доступ по SSH к устройствам контроллера (пункт 1).
Если по какой-то причине ничего не заработало, стоит проверить лог контроллера на выданные ошибки. Подробнее про файл config.gateway.json можно прочитать на сайте: UniFi - USG Advanced Configuration
Протестовано з UniFi SDN Controller 5.6.40 LTS for Windows и UniFi Security Gateway 3P ver. 4.4.29.5124210