UniFi Security Gateway (При подключенном UniFi Controller) - zhovner/zaborona_help GitHub Wiki

⚠️ Внимание! Данное решение не работает в случае использования failover интерфейса. Т.е. данный вариант работает только при использовании одного интернет-провайдера на первом порту WAN.

Настройка под решение UniFi Security Gateway отличается от решения с Ubiquiti EdgeRouters по той причине, что все изменения, которые вы внесете непосредственно в конфигурации на самом устройстве будут в дальнейшем перезаписаны при проведении синхронизации с UniFi Controller. Для того, чтобы избежать подобного, предлагается следующая схема.

1. Необходимо активировать доступ по SSH к устройствам, подсоединенным к контроллеру. Делается это в пункте меню:

   Settings > Site > Device Authentication > SSH Authentication

   

2. После принятия изменений, заходим непосредственно на сам UniFi Security Gateway (USG) по SSH с помощью консоли. В консоли авторизуемся с логином и паролем из первого шага. Загружаем файл настроек zaborona-help.ovpn на роутер следующей командой:

Подключение к серверам Zaborona.help:

TCP:

 `curl https://zaborona.help/openvpn-client-config/srv0.zaborona-help-TCP_maxroutes.ovpn --output /config/srv0.zaborona-help-TCP_maxroutes.ovpn`

либо

UDP:

 `curl https://zaborona.help/openvpn-client-config/srv0.zaborona-help-UDP_maxroutes.ovpn --output /config/srv0.zaborona-help-UDP_maxroutes.ovpn`

И выходим из консоли командой:

 `exit`

3. Теперь необходимо открыть папку с конфигурацией текущего сайта UniFi Controller.

   Путь к ней выглядит примерно следующим образом: <unifi_base>/data/sites/<site_ID>.

   Подробнее про <unifi_base> можно прочитать в инструкции: UniFi - Where is <unifi_base>?

   По умолчанию данная папка находится по пути %userprofile%/Ubiquiti UniFi/data/sites/<site_ID>

   Ваш <site_ID> можно найти в адресной строке браузера. Например, в ссылке: https://127.0.0.1:8443/manage/s/ceb1m27d/dashboard - этот идентификатор ceb1m27d.

4. В папке %userprofile%/Ubiquiti UniFi/data/sites/<site_ID> необходимо создать пустой текстовый файл config.gateway.json.

   Открываем этот файл блокнотом и помещаем внутрь него следующее содержимое:

!Обратите внимание на имя конфига openvpn, которое нужно прописать в соответствии с тем, который Вы загрузили выше!

{
       "interfaces": {
                "openvpn": {
                        "vtun0": {
                                "config-file": "/config/srv0.zaborona-help-TCP_maxroutes.ovpn"
                        }
                }
       },
       "service": {
                "nat": {
                        "rule": {
                            "6666": {
                                    "description": "zaborona-help-TCP_maxroutes.ovpn",
                                    "outbound-interface": "vtun0",
                                    "protocol": "all",
                                    "type": "masquerade"
                            }
                       }
               }
       }
}

Здесь стоит обратить внимание на следующий момент. Для идентификатора правила NAT выбран номер 6666, по умолчанию он нигде не занят. Но если с NAT производились какие-то операции, то стоить проверить, чтобы небыло конфликта по ID.

4. Сохраняем изменения в файле config.gateway.json и возвращаемся в UniFi Controller. Необходимо загрузить изменения в конфигурации на USG. Для этого заходим в Devices, выбираем наш роутер и справа выбираем Config > Manage device > Force provision и нажимаем кнопку Provision:

   

   Если код был точно скопирован, то можем проверить доступ на сайты vk.com или music.yandex.ru

5. При желании, закрываем доступ по SSH к устройствам контроллера (пункт 1).

Если по какой-то причине ничего не заработало, стоит проверить лог контроллера на выданные ошибки. Подробнее про файл config.gateway.json можно прочитать на сайте: UniFi - USG Advanced Configuration

Протестовано з UniFi SDN Controller 5.6.40 LTS for Windows и UniFi Security Gateway 3P ver. 4.4.29.5124210