La Fibre
Datacenter et équipements réseaux => Routeurs => 
Ubiquiti => Discussion démarrée par: boho le 29 août 2023 à 11:22:27
-
Hello,
J'ai récemment mis en place (en grand max 30 secondes) la fonction Site Magic entre deux sites distants.
Pour la petit histoire :
Site 1 -> UDM SE qui remplace une box SFR donc avec une IP publique
Site 2 -> UDR branché vaille que vaille sur un Starlink donc avec une adresse privée because CGNAT
Ca marche vraiment très bien. Le cas d'emploi est de faire des sauvegardes distantes entre Synology plus un accès à des répertoires partagés sans utiliser le remote access Syno.
Cependant, un point me chagrine : je veux utiliser le WOL pour réveiller un des syno mais Site Magic utilise Wireguard (Layer 3).
Je cherche une solution clean et simple pour la WOL : je pensais à SSH vers le routeur local, install d'un soft qui fait du WOL mais c'est crado. Des idées pour un truc simple et robuste?
-
Super intéressant.
Je me posais la question.
Mais je suppose qu'il est impossible d'avoir un UDM en adresse publique derrière une Box, non ? Je ne vois pas où le faire dans le système.
-
Dans mon cas, l'UDM replace totalement la box RED, donc avec l'IP publique (pas de CGNAT!), en se branchant derrière l'ONT.
Je suppose qu'une box en mode bridge ferait l'affaire?
A la campagne, c'est du Starlink, donc CGNAT.
-
Bonjour :)
@boho
Je cherche à monter exactement la même config et je me permets de solliciter ton aide ou celle de quelqu'un qui l'a déjà fait.
Liaison Site 2 Site via Unifi Site Magic avec du Starlink d'un coté.
- Le hub a bien une IP public en FTTH avec un UDM direct derrière mon ONT -> ça c'est OK
- En revanche le ou les spoke-clients UDM/UCG dont l'un est derrière un Starlink (donc adresse privée / CGNAT) ne veulent pas se connecter sur l'interface Site Magic et restent en erreur.
J'ai le sentiment de passer à coté de quelque chose et je tourne en rond...
Est-ce que l'un de vous aurait une idée ?
Merci par avance pour votre aide.
-
Difficile à dire pourquoi ça ne marche pas. En tout cas, j'ai eu le combo RED / Starlink qui a parfaitement fonctionné pendant à peu prés un an. Je suis passé à RED FTTH / Orange FTTH plus récemment et tout a fonctionné dans toucher à rien.
Tous les sites sont bien rattachés au même compte Unifi?
L'utilisateur a bien des droit d'admin sur les sites en question?
-
Alors avant tout merci d'avoir pris le temps de répondre aussi rapidement et sur un post qui date ! :)
Voici un screen de mon interface Site Magic :
(https://i.postimg.cc/MKv5H1Nx/Cap.jpg)
Mon hub a bien une IP public que j'ai masqué et il est connecté.
Mes 2 "spokes" n'arrivent pas à se connecter.
Dans la colonne "WAN" on voit bien qu'ils portent des IP privées puisqu'ils tous les 2 derrières des box FAI (une fibre et un Starlink).
J'ai beau regarder des videos qui traitent du sujet, je n'arrive pas à passer cette étape.
Dans mon esprit il n'y a rien à "ouvrir" sur les routeurs en spokes car ils se connectent vers le hub. Mais peut-être ai-je mal compris.
- Avais-tu paramétré quelque chose dans les routeurs en CGNAT ?
- Est ce que ton UDR était en "bridge" derrière ta starlink ?
J'ai essayé de mettre mon 2nd UDM "spoke" derrière une box orange avec une DMZ (qui fonctionne puisque j'arrive à faire un serveur VPN Wireguard avec).
Je suis preneur de toute idée ou suggestion.
-
Bah si ça utilise un port qui n'est pas dispo dans la plage CGNATé pour sortir c'est mort
-
Je ne vois rien de spécial dans ma config si ce n'est que je mets toujours le routeur Unifi dans une DMZ open bar. Heritage des configs OpenVPN manuelles Ubiquiti d'avant Wireguard...
Sinon ptet une histoire de ports CGNAT comme dit par Fyr, mais il me semble (je n'ai pas ressorti la doc) que le bidule est sensé se débrouiller tout seul.
De mémoire, le seul gros pré-requis est l'IP publique coté Hub, ce qui au passage commence à sérieusement m'inquiéter vue les déboires financiers de SFR, car la connexion directe sans la box c'est le gros avantage de RED. Tant que ça dure.
S'il y a des soucis de ports CGNAT, ça voudrait dire que j'ai eu du bol car tout a fonctionné avec Starlink et j'ai même eu une connexion 4G sans rien toucher. Vérifie peut être que tous les routeurs soient bien en DMZ.
Sinon (ne le dis à personne ici :-X ) je n'ai toujours pas activé l'IPV6 ce qui peut avoir son importance. Le Gaston Lagaffe d'Ubiquiti pourrait encore avoir frappé.
-
Et sinon (mais ce serait très baroque):
https://www.reddit.com/r/Ubiquiti/comments/1dcdsc3/site_to_site_vpn_with_one_end_behind_cgnat/
You need a rule on the remote site behind CGNAT permitting Internet In with the source being the remote network and the destination being the local network. UI sucks. I came here looking for a solution and then not finding one other than site magic started poking at it with Wireshark. This fixed it for me. It's lame... but hey that's UI.
-
Ahhh ce serait la règle du trafic retour qui peut pas se faire automatiquement et faut ouvrir le firewall sur l'IP source du hub
-
C'est étrange pour un truc basé sur Wireguard, qui en général passe à travers tout ce qui est possible et survit aux changements fréquents d'adresses (surtout si les client wireguard derrière un (CG)NAT sont configurés avec un KeepAlive court).
-
@Boho
@Fyr
Merci pour ces pistes ! Je continue de creuser.
Je reviens donner l'info si je trouve et que ça peut servir à d'autres ;-)
-
De mémoire, le seul gros pré-requis est l'IP publique coté Hub, ce qui au passage commence à sérieusement m'inquiéter vue les déboires financiers de SFR, car la connexion directe sans la box c'est le gros avantage de RED. Tant que ça dure.
Tout à fait d'accord. Sinon l'alternative c'est Free, car une fois la Freebox basculée en "bridge" c'est bien l'ip public qui remonte directement dans le WAN de l'UDM.