Bem-vindo à Comunidade UBNT

Redirecionamento de portas na WAN2 do USG com failover.

Olá a todos.
Tenho o seguinte cenário/problema. Um USG com dois links via ppoe sendo o ultimo configurado apenas como failover.
Porém, quando o primeiro link cai e o segundo assume os meus redirecionamentos NAT não funcionam.
Segui rigorosamente este artigo ( https://help.ui.com/hc/en-us/articles/235723207-UniFi-USG-Port-Forward-Port-Forwarding-Configuration-and-Troubleshooting#3 e os demais que ele indica, como o relacionado a criação do arquivo json.)
Usei a porta 3389 como exemplo e fiz o seguinte:
1 Criei um redirecionamento NAT na WAN2 em Port Forwarding para a porta 3389.
2 Criei um grupo de portas e liberei no Firewall.
3 Acessei o USG via SSH e incluí as regras descritas no artigo via CLI da seguinte forma:

set service nat rule 4001 description 'wmc_rdp'
set service nat rule 4001 destination group address-group ADDRv4_eth2
set service nat rule 4001 destination port 3389
set service nat rule 4001 inbound-interface pppoe1 (Detalhe, no artigo o autor usa como exemplo a eth2 mas minha conexão vem via pppoe, então achei correto identificar a porta correta no grupo de portas eth2)
set service nat rule 4001 inside-address address 10.1.1.253
set service nat rule 4001 inside-address port 3389
set service nat rule 4001 protocol tcp
set service nat rule 4001 type destination

Depois usei o comando mca-ctrl -t dump-cfg para capturar o arquivo no formato json corretamente, validei o arquivo e ficou da seguinte forma:

{
       "service": {
"nat": {
"rule": {
                                "4001": {
                                        "description": "wmc_rdp",
                                        "destination": {
                                                "group": {
                                                        "address-group": "ADDRv4_eth2"
                                                },
                                                "port": "3389"
                                        },
                                        "inbound-interface": "pppoe1",
                                        "inside-address": {
                                                "address": "10.1.1.253",
                                                "port": "3389"
                                        },
                                        "protocol": "tcp",
                                        "type": "destination"
                                        }
}
}  
   }
}

Criei o arquivo config.gateway.json salvei na pasta do site ( Detalhe: a controladora não cria a pasta do site automaticamente, para isso é necessário carregar alguma coisa para dentro da controladora, como um mapa, por exemplo.)

Feito isso forcei a provisão do USG e verifiquei no log que não houve nenhum problema, ou seja, carregou o arquivo corretamente inclusive já aparece nas regras de nat conforme print abaixo;


Porém, o redirecionamento não funciona. Podem me ajudar ? Meu cliente depende muito dessa configuração.

Obs:Regras de nat não deveriam começar com 6000 ? Segui o exemplo do artigo na risca que indica usar a regra de número 4001, talvez para se sobrepor as demais, contudo, minha regra firewall de redirecionamento de grupo de porta está com o número 4000, ou seja, não está conflitando com a nat.

Obrigado.

Comentários

  • UI-SamuelUI-Samuel 1398 Pontos
    Nativamente o USG não suporta DNAT na WAN2 via GUI, apenas na WAN1, diferente do UDM-PRO que suporta em ambas WAN1/WAN2. O suporte global da Ubiquiti não recomenda que sejam feitas configurações via CLI usando o arquivo config.gateway.json no USG porque esse procedimento pode trazer mais problemas e travar o equipamento em loop. Para essa demanda deve ser usado um UDM-PRO ou um EdgeRouter, conforme explicado abaixo:

    http://bit.ly/USGxER
Entre ou Registre-se para fazer um comentário.