Frage/Hilfe zu PBR auf USG4 Pro bezüglich WAN2

**SoerenKaiser99** · 16. August 2021

Hi Zs,

Ich habe nun meine UDM rausgeschmissen und eine USG4 Pro angeschafft.

Meine Herausforderung & der Grund dafür:

Policy based Routing ist nur auf USG`s möglich. soweit bin ich schon.

die Anleitung dazu habe ich auch gefunden/gelesen:

Code

configure

set protocols static table 5 interface-route 0.0.0.0/0 next-hop-interface pppoe1

set firewall modify LOAD_BALANCE rule 2500 action modify

set firewall modify LOAD_BALANCE rule 2500 modify table 5

set firewall modify LOAD_BALANCE rule 2500 source address 192.168.5.0/24

set firewall modify LOAD_BALANCE rule 2500 protocol all

commit ; exit

Alles anzeigen

soweit so gut. Es geht nur leider nicht

Ich möchte das phone VLAN 5 192.168.5.1/24

über WAN2 routen und dort auch die Antwort erhalten. Falls möglich ebenfalls 192.168.6.0/29 (mein VPN)

Hintergrund:

Wan1 ist ein Starlink CGNAT also keine ipv4. Auf Wan 2 läuft ein DSL mit ipv4

hier die config:

NAME	PURPOSE	NETWORK GROUP	PORT	SUBNET	SUBNET IPV6	VLAN	ACTIONS
Eifelnet	USG-Pro-4:33cd	WAN	WAN2	WAN2	PPPoE	None		EDIT	DELETE
Gäste	USG-Pro-4:33cd	Guest	LAN	LAN1	192.168.4.0/24	None	12	EDIT	DELETE
Home	USG-Pro-4:33cd	Corporate	LAN	LAN1	192.168.2.0/24	None	10	EDIT	DELETE
IoT	USG-Pro-4:33cd	Corporate	LAN	LAN1	192.168.3.0/24	None	11	EDIT	DELETE
LAN	USG-Pro-4:33cd	Corporate	LAN	LAN1	192.168.1.0/24	None		EDIT
phone	USG-Pro-4:33cd	Corporate	LAN	LAN1	192.168.5.0/28	None	5	EDIT	DELETE
Starlink	USG-Pro-4:33cd	WAN	WAN	WAN1	DHCP	None		EDIT
vpn	USG-Pro-4:33cd	Remote User VPN (L2TP)			192.168.6.0/29	None

Ich habe schon aus commit save gemacht. Und versucht eine Json zu erstellen. Bin mir jedoch nicht sicher ob die Config an sich richtig ist und möchte mit der JSON warten bis mir jemand von Euch sagt obs so okay ist.

Dann wüsste ich auch noch nicht wo die JSON im Docker hin muss da unter dem mountverzeichnis der pfad nicht existiert...

Vielen Dank schon mal vorab

Gruß Sören

**gierig** · 17. August 2021

Was genau geht nicht ? Gibt es einen Paket Trace bei dem du siehst ob Pakete raus gehen bloß nicht zurück ?

(tcpdump ist überall drauf und die file die damit erzeugt werden 1zu1 in wiereschark zu bewundern)

Ist das ruleset „LOAD_BALANCE“ auch an das Interface (bzw. an das Vlan) gebunden ?

Policy-Based-Routing (und die weiterführenden Links) kennst du ? Das ist zu 99% auch für die USG gültig.

**SoerenKaiser99** · 18. August 2021

Moin Gierig

sorry ich bin leider Anfänger mit Grundkenntnissen.

Ich versuche eine 3cx Telefonanlage zu betreiben und eine VPN Verbindung nach Hause zu bekommen.

An WAN1 hängt mein Starlink mit CGNAT. Da läuft die 3cx nicht wegen fehlender IPv4, selbiges gilt für VPN

An Wan2 hängt ein normaler VDSL Anschluss mit 30 Mbit und dyn. ipv4. Den konnte ich früher an Wan1 über noip.com problemlos erreichen.

Ich habe nun den configure-part oben unter Code per SSH auf der USG4 Pro eingegeben und statt commit save verwendet. Anschließend habe ich versucht die dyn. ip vom DSL-Anschluss von außen zu pingen, vpn aufzubauen oder die 3cx zu erreichen. Nichts davon hat funktioniert.

Anschlißened habe ich gelesen, das die jsowndatei heruntergeladen, verändert und wieder gespeichert werden muss. Ich bin nicht sicher ob das schon der fehler ist, will aber mit der JSon auch nichts falsch machen.

Generieren habe ich noch geschafft via ssh.

Falls etwas davon einfacher/besser wäre:

Ich benötige nicht zwingend loadbalance - failover würde auch reichen

oder

Ich hätte auch einen ungenutzen linux-server mit fester ip bei ionos für einen tunnel von wan1 zu ionos um diesen von dort zu erreichen - auch hier scheitere ich aber an der configuration von beispw. openvpn. Falls du hier ein Tutorial hättest das sicher funktioniert wär ich auch dankbar

**gierig** · 18. August 2021

Zitat von SoerenKaiser99

sorry ich bin leider Anfänger mit Grundkenntnissen.

Das ist ein Problem. Du möchtest Bildlich gesprochen Rückwärts mit einen LKW samt Anhänger einen Steilanhang

bei Regen und Glatteis hinunter. Bist bisher aber nur PKW mit Einachser Anhänger forderst gefahren auf glatter Straße bei Sonnenschein. (ok ich übertreibe)

ein paar Anmerkungen

Zitat von SoerenKaiser99

eingegeben und statt commit save verwendet.

ein commit währe dazu da um die Änderungen an der Configuration auch aktiv zu schalten.

ein save nur um die abzuspeichern für den nächsten boot.

Commit währe also richtiger fürs erste zu testen.

Zitat von SoerenKaiser99

Anschlißened habe ich gelesen, das die jsowndatei heruntergeladen....

du meinst die config.gateway.json die ist dazu da um sonder Dinge (also alles was nicht über den Controller angefasst wird) Provisions sicher Konfigurieren zu können. Solange du im Controller nicht ändert was eine Provision auf

der USG auslöst brauchst du das erst einmal nicht (du willst es aber haben da quasi jede Änderung im Controller

den USG Konfiguriert). Sprich zum testen kannst du das Ignorieren und dann wenn es geht die relevanten

dinge aus einem Config Dump in deine JSON zu übernehmen.

Sprich erst den Kuchen fertig Backen und dann verzieren...

Lese den ersten Link oben da sind Beispiele bei wie wo was einzustellen ist und passe das

deinen Gegebenheiten an.

**SoerenKaiser99** · 20. August 2021

dank dir. Habe mich ein wenig weiter eingelesen und bin auch ein Stück weiter den Berg runter um bei deinem Vergleich zu bleiben.

Ich habe schon mal hinbekommen, dass der traffic aus VPN netz 192.168.5.1/24 Vlan 255 komplett über nordvpn raus geht (und somit auch auch die Handhabung der config.gateway.json herausgefunden ) und dort eine feste ip... sprich der traffic geht nun immer über einen server mit der IP 194.31..... raus

Nun habe ich noch 2 Baustellen...

1) wird nun der gesamte verkehr rausgeschickt - ich habe aus dem VPN-Netz jedoch keine Verbindung mehr zum lokalen Netz/anderen VLANS

2) von Außen erreiche ich mein Netz ebenfalls noch nicht. evtl wegen punkt 1?

Radius ist konfiguriert (secret, port1812+1813) und bei Nutzer (name. +pass, Vlan 255, l2tp + ipv4 Tunnel)

zu 1) kann ich das ändern?

zu 2) stimmt die config an sich und liegt es an der PBR/firewall?

Probiert habe ich hier eth0 / eth1 / eth2 - funktioniert hat es nur mit eth0:

eth0 = LAN1 eth1 = LAN2 eth2 = WAN1 eth3 = WAN2

lan1 = switch ->Lan`s/Wlans / lan2 leer / WAN1 Starlink / WAN2 DSL

Code

{
   "firewall":{
      "modify":{
         "PBR_VPN":{
            "rule":{
               "20":{
                  "action":"modify",
                  "description":"traffic from VLan yy to VPN Tunnel",
                  "modify":{
                     "table":"20"
                  },
                  "source":{
                     "address":"192.168.5.0/24"
                  }
               }
            }
         }
      },
     "source-validation":"disable"
   },
   "interfaces":{
      "ethernet":{
         "eth0":{
            "vif":{
               "255":{
                  "firewall":{
                     "in":{
                        "modify":"PBR_VPN"
                     }
                  }
               }
            }
         }
      },
      "openvpn":{
         "vtun0":{
            "config-file":"/config/user-data/openvpn/nordvpn.ovpn",
            "description":"OpenVPN Tunnel"
         }
      }
   },
   "protocols":{
      "static":{
         "table":{
            "20":{
               "interface-route":{
                  "0.0.0.0/0":{
                     "next-hop-interface":{
                        "vtun0":"''"
                     }
                  }
               }
            }
         }
      }
   },
   "service":{
      "nat":{
         "rule":{
            "5020":{
               "description":"OpenVPN Clients",
               "log":"disable",
               "outbound-interface":"vtun0",
               "source":{
                  "address":"192.168.5.0/24"
               },
               "type":"masquerade"
            }
         }
      }
   }
}

Alles anzeigen

**gierig** · 23. August 2021

Zu 1 Ja

zu 2 Sag du es mir, funktioniert es dann Ja, funktioniert es nicht dann nein.

aber wahrscheinlich stimmt deine Aussage

Da nun auf einmal mit einem externen VPN Anbieter kommst (nordvpn) und scheinbar alles auf einmal

gleichzeitig machen möchtest bin ich raus da ich hier schlicht nicht mehr folgen kann oder

die schritte nachvollziehen kann.

Sorry...

**SoerenKaiser99** · 23. August 2021

Ich versteh nicht was du meinst.

wenn ich es alleine könnte, hätte ich nicht gefragt. Ich habe deine erste Antwort als Aufforderung verstanden mich erstmal Einwendung einzulesen.

Das Ergebnis habe ich dann gepostet und komme nicht weiter da wie bei 1 geschrieben alle Anfragen über NordVPN laufen aber das interne Netz 192.168…. Nicht mehr erreichbar ist da auch diese Anfragen anscheinend über WAN laufen aber ich dennoch von außen ebenfalls nicht das 192… Netz erreichen kann.

Ich wollte nicht alles auf einmal. Wenn das so rüber kam, tut es mir leid. Ich wollte lediglich ein wenig Eigeninitiative zeigen und dich nicht auffordern mit alles vorzukauen.

Sorry nochmal wenn etwas falsch angekommen ist.

**gierig** · 23. August 2021

Das Problem ist das ich nicht verstehe was du willst oder warum aus dem nichts da auf einmal

ein nordvpn Setup mit bei ist. Davon war im Ausgangs Post nicht die Rede.

Ich habe weder:

Zweiten I net Anschluss,

VPN über UNIFI

VPN Anbieter wie Nord VPN das unbedingt auf einem Router laufen muss

Daher auch nicht das Bedürfnis Traffic trennen zu wollen.

Und damit auch keine Change das sinnvoll hier nachzustellen.

Eine wirkliche aktuelle Übersicht über deine Configuration (sowas wie

show configuration commands) ohne den Json kram der nett ist aber

auch schwer lesbar...

Ich habe dir ein paar Links an die Hand gegeben wo du Informationen finden kannst.

Ansonsten must Du es verstehen was Du machst und es nicht anderen überlassen.

Wenn ich deine Config hinbiege hilft es Dir nicht wenn ich dann nächste Woche

nicht mehr antworte weil nicht mehr geht oder ich da einen geheimen "ich komm

in dein netz rein Türchen eingebaut" habe und alle dein Tafel Silber runtergeladen habe.

zu1:

Laut dem JSON wird 192.168.5.0/24 über Routing Table 20 geführt.

Table 20 sagt ALLES nach vtun0 was wohl dein nordvpn ist. Alles ist alles.

da fehlen also Routen zu deinen Internen Vlans die über die IP des Routers

(192.168.5.x) laufen sollten.

zu2:

Puhhh KEINE Ahnung weil ich nicht mal sehe welches der VPN du nun meinst oder

ob überhaupt die VPN Ports von außen erreichbar sind...

**SoerenKaiser99** · 12. September 2021

Zitat von gierig

Das Problem ist das ich nicht verstehe was du willst oder warum aus dem nichts da auf einmal
ein nordvpn Setup mit bei ist. Davon war im Ausgangs Post nicht die Rede.

Ich habe weder:
Zweiten I net Anschluss,
VPN über UNIFI
VPN Anbieter wie Nord VPN das unbedingt auf einem Router laufen muss
Daher auch nicht das Bedürfnis Traffic trennen zu wollen.
Und damit auch keine Change das sinnvoll hier nachzustellen.

Eine wirkliche aktuelle Übersicht über deine Configuration (sowas wie
show configuration commands) ohne den Json kram der nett ist aber
auch schwer lesbar...

Ich habe dir ein paar Links an die Hand gegeben wo du Informationen finden kannst.
Ansonsten must Du es verstehen was Du machst und es nicht anderen überlassen.
Wenn ich deine Config hinbiege hilft es Dir nicht wenn ich dann nächste Woche
nicht mehr antworte weil nicht mehr geht oder ich da einen geheimen "ich komm
in dein netz rein Türchen eingebaut" habe und alle dein Tafel Silber runtergeladen habe.

zu1:
Laut dem JSON wird 192.168.5.0/24 über Routing Table 20 geführt.
Table 20 sagt ALLES nach vtun0 was wohl dein nordvpn ist. Alles ist alles.
da fehlen also Routen zu deinen Internen Vlans die über die IP des Routers
(192.168.5.x) laufen sollten.

zu2:
Puhhh KEINE Ahnung weil ich nicht mal sehe welches der VPN du nun meinst oder
ob überhaupt die VPN Ports von außen erreichbar sind...

Alles anzeigen

ich hab nun 2 Wochen lang probiert und getestet aber es nicht hin bekommen. Ich hatte „gedacht“ wenn ein VPN raus geht mit fester ip wäre mein Problem gelöst. Wär relativ einfältig 😂🤷 sorry dafür

Ich habe nun usg und udm raus geschmissen und eine pfsense davor gehängt. Damit funktioniert es einwandfrei und auch für ambitionierte Laien zumindest mit viel lesen selbst hin zu bekommen.

Tatsächlich habe ich mir die selben Fragen mit der Hintertür gestellt. Ich finde es halt extrem schade, dass eine eigentlich so tolle Hardware nur so schwierig zu konfigurieren ist. Wissen hin oder her aber für meine Begriffe ist das was UniFi da abliefert alles andere als anwenderfreundlich. Auch für versierte Anwender ist der Weg über die JSON nicht das gelbe vom Ei denke ich.

Wie gesagt, Problem gelöst. Mit der PFSense funktioniert sowohl loadbalancing, failover und das WAN bonding einwandfrei 🤷 dank dir dennoch für die Mühe und die Anregungen

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Frage/Hilfe zu PBR auf USG4 Pro bezüglich WAN2

Tags

2 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 76

Wer war online 88