搜尋
搜尋
  • 2

請教USG的Port forwarding

前往頁尾
dummyhead
dummyhead
dummyhead
  • dummyhead
  • 個人積分:247分
    文章編號:83660485
247分
樓主
2021-12-05 14:14
最近剛入手了USG,想作為原subnet底下的另一個router,透過硬撥接port forwarding以連接區網內的service,但發現port forwarding無法連通LAN1同一個subnet的其它IP,目前接線如下:
請教USG的Port forwarding

AC66U為原本的AP與router,同時負責DHCP
USG的LAN1設定為固定IP與AC66U同一subnet,controller可以看到整個subnet上所有的裝置,且ssh進USG之後ping subnet上的機器可以得到回應

AC66U的port forwarding可以連通USG LAN1 IP
USG的port forwarding可以連通:
1. USG LAN1 IP(需要設定WAN local firewall allow TCP)
2. USG LAN2 IP及LAN2同一個subnet的Computer B(不需要設定WAN local firewall)

但是USG的port forwarding無法連通到AC66U以及LAN1上同一個subnet的電腦(如Computer A)
有試過將USG的LAN1直接接到AC66U的LAN port上但問題仍然存在

想請問一下要設定LAN1的port forwarding是否需要其它的設定,或者是我現在的接線方式有問題?
2021-12-05 14:14 發佈
文章關鍵字 USG Port forwarding
m!ng
m!ng
m!ng
  • m!ng
  • 個人積分:176分
    文章編號:83691012
176分
2樓
2021-12-09 12:09
你以下兩段敍述矛盾哦 ..
"USG的LAN1設定為固定IP與AC66U同一subnet,controller可以看到整個subnet上所有的裝置,且ssh進USG之後ping subnet上的機器可以得到回應"

"但是USG的port forwarding無法連通到AC66U以及LAN1上同一個subnet的電腦(如Computer A)
有試過將USG的LAN1直接接到AC66U的LAN port上但問題仍然存在"

要隔空把脈, 那狀況描述要很清楚.
另, 你說port forwarding能通不能通, 能不能講全一點, 是你從那裏, 連到那裏, 用什麼port, 結果不能通 ?!

最後, 你的USG 是ubiquiti 的USG 吧?!
dummyhead
dummyhead
dummyhead
  • dummyhead
  • 個人積分:247分
    文章編號:83694320
247分
樓主
2021-12-09 18:03
m!ng wrote:
你以下兩段敍述矛盾哦(恕刪)


感謝回覆,這個狀況確實很怪所以我才想不通我是哪裡設錯會導致這個狀況
1. 是Unifi USG沒錯
2. 圖示有點錯,AC66U是192.168.1.254/24,USG是192.168.1.1/24
3.
測試以下狀況是可以通的
a. USG WAN:11180 -> 192.168.1.1:80(其實就是連到USG自己的網頁用curl -v測試是否會得到301的回應)
b. USG WAN:11190 -> 192.168.2.2:4000(電腦B的網頁服務,單純測試是否連通)
以下設定會發生逾時而不是直接被拒絕
a. USG WAN:11200 -> 192.168.1.254:80(AC66U admin console)
b. USG WAN:11210 -> 192.168.1.240:5000(電腦A的網頁服務,單純測試是否連通)

但是不管在192.168.1.0/24的subnet上任一台機器去ping其它機器或連進USG去ping各機器或用curl -v測試網頁都會得到回應)

如果有不清楚的地方再麻煩指教
tommyke
tommyke
tommyke
  • tommyke
  • 個人積分:5966分
    文章編號:83696344
5966分
4樓
2021-12-09 23:48
從架構圖來看,問題不在於USG的Port forwarding設定,而是網段路由的問題
192.168.1.x如何跟192.168.2.x的網段通訊
找一下route的指令怎麼下,試試看
也有可能你的設備無法做出這樣複雜的架構,牽扯到預設通訊閘道Gateway的問題
你需要的是多WAN+靜態NAT路由的防火牆設備來做這件事情
然後設定內部有兩個網段,搭配Switch帶不同的VLAN,以及連結到你的兩台電腦
但是USG只有三個網孔,分別是WAN1 / LAN1 / LAN2(WAN2)
理論上,應該也沒辦法完成你的架構,請換成UDM Pro,或是Forti之類的專業防火牆吧
dummyhead
dummyhead
dummyhead
  • dummyhead
  • 個人積分:247分
    文章編號:83698609
247分
樓主
2021-12-10 10:26
tommyke wrote:
從架構圖來看,問題不(恕刪)


您好,其實192.168.2.0/24的網段只是測試用,因為當初192.168.1.0/24網段上的機器怎樣都測不通,懷疑是自己不熟設定,才把LAN2跑起來。

我的目標其實是希望一般機器都會走AC66U的WAN出去,然後USG的WAN就只收port forwarding的連線,所以最好的情況下就是直接在同一個網段

在這樣的前提下我讓AC66U維持原本的功能,USG則以192.168.1.1加入同網段,希望可以藉此port forwarding到特定的幾台機器上。但之前的測試下來好像192.168.1.0/24的port forwarding只打的通USG自己,在同網段上的機器雖然ping的到但port forwarding失敗
tommyke
tommyke
tommyke
  • tommyke
  • 個人積分:5966分
    文章編號:83698724
5966分
6樓
2021-12-10 10:36
dummyhead wrote:
您好,其實192.168.2.0/24的網段只是測試用,因為當初192.168.1.0/24網段上的機器怎樣都測不通,懷疑是自己不熟設定,才把LAN2跑起來。
我的目標其實是希望一般機器都會走AC66U的WAN出去,然後USG的WAN就只收port forwarding的連線,所以最好的情況下就是直接在同一個網段
在這樣的前提下我讓AC66U維持原本的功能,USG則以192.168.1.1加入同網段,希望可以藉此port forwarding到特定的幾台機器上。但之前的測試下來好像192.168.1.0/24的port forwarding只打的通USG自己,在同網段上的機器雖然ping的到但port forwarding失敗

照你這樣講的意思,你的架構圖錯了
應該是USG的WAN要接Hub,LAN1要接ComputerB
USG的WAN設定固定IP(192.168.1.1),且有啟動NAT
Unifi的LAN網段是設定192.168.2.x,同時ComputerB是設定192.168.2.x
對於ComputerB來說,Gateway是USG的LAN1的IP
這樣USG的port forwarding才會啟動
這樣192.168.1.x的電腦,連線到USG的192.168.1.1,才會轉到USG內的192.168.2.x電腦
從外部網路要連線到CompterB,則是要透過ASUS=>USG=>ComputerB
dummyhead
dummyhead
dummyhead
  • dummyhead
  • 個人積分:247分
    文章編號:83699132
247分
樓主
2021-12-10 11:15
tommyke wrote:
照你這樣講的意思,你(恕刪)


我想這邊似乎是有點誤會,我的目標是USG的port forwarding到192.168.1.0/24網段上的其它機器(AC66U or Computer A)
1. 如前述 Computer B的port forwarding是正常的
2. Computer B所在的網段192.168.2.0/24單純是測試用,重點在於192.168.1.0/24網段上的機器無法透過USG的WAN port forwarding,而最佳情況下我也不希望使用另一個網段來達成port fowarding到server,因為並不是每個目標機器都有雙網卡

照您提供的方式,USG的WAN應該無法透過PPPoE撥號取得自己的IP,同時也會需要有192.168.2.0/24這個網段
m!ng
m!ng
m!ng
  • m!ng
  • 個人積分:176分
    文章編號:83703237
176分
8樓
2021-12-10 18:37
dummyhead wrote:
感謝回覆,這個狀況確...(恕刪)


好, 我判斷是路由問題:
1. a. USG WAN:11200 -> 192.168.1.254:80(AC66U admin console)
對192.168.1.254 而言, 它看到source IP 會是USG WAN, 所以是個外部IP, 所以它會走AC66U WAN 回去, 所以你的USG LAN1會等不到回覆;

2. b. USG WAN:11210 -> 192.168.1.240:5000(電腦A的網頁服務,單純測試是否連通)
同上, 電腦A它看到source IP 會是USG WAN, 所以是個外部IP, 所以它會走AC66U WAN 回去, 所以你的USG LAN1會等不到回覆;
dummyhead
dummyhead
dummyhead
  • dummyhead
  • 個人積分:247分
    文章編號:83704547
247分
樓主
2021-12-10 22:33
m!ng wrote:
好, 我判斷是路由問(恕刪)


感謝,我實驗了一下把gateway改成USG之後確實port forwarding就成功了

但這跟當初設第二台router的本意有點違背,因為我希望USG主要負責port forarding,一般流量還是想走AC66U出去,要固定gateway的話就勢必要有第二張網卡

如果我的USG上的PPPoE會是固定IP,有方法可以在不改default gateway的狀況下打通嗎?
m!ng
m!ng

computer A 上設一筆static route

2021-12-14 22:11
tommyke
tommyke
tommyke
  • tommyke
  • 個人積分:5966分
    文章編號:83707742
5966分
10樓
2021-12-11 13:33
dummyhead wrote:
如果我的USG上的PPPoE會是固定IP,有方法可以在不改default gateway的狀況下打通嗎?

試試看設定靜態路由
  • 2
內文搜尋
搜尋
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?