Auteur Sujet: Unifi Site MAgic (Lu 2466 fois)

boho · « **le:** 29 août 2023 à 11:22:27 »

Hello,

J'ai récemment mis en place (en grand max 30 secondes) la fonction Site Magic entre deux sites distants.

Pour la petit histoire :
Site 1 -> UDM SE qui remplace une box SFR donc avec une IP publique
Site 2 -> UDR branché vaille que vaille sur un Starlink donc avec une adresse privée because CGNAT

Ca marche vraiment très bien. Le cas d'emploi est de faire des sauvegardes distantes entre Synology plus un accès à des répertoires partagés sans utiliser le remote access Syno.
Cependant, un point me chagrine : je veux utiliser le WOL pour réveiller un des syno mais Site Magic utilise Wireguard (Layer 3).

Je cherche une solution clean et simple pour la WOL : je pensais à SSH vers le routeur local, install d'un soft qui fait du WOL mais c'est crado. Des idées pour un truc simple et robuste?

cc · « **Réponse #1 le:** 14 novembre 2023 à 18:08:15 »

Super intéressant.
Je me posais la question.
Mais je suppose qu'il est impossible d'avoir un UDM en adresse publique derrière une Box, non ? Je ne vois pas où le faire dans le système.

boho · « **Réponse #2 le:** 14 novembre 2023 à 21:06:04 »

Dans mon cas, l'UDM replace totalement la box RED, donc avec l'IP publique (pas de CGNAT!), en se branchant derrière l'ONT.
Je suppose qu'une box en mode bridge ferait l'affaire?

A la campagne, c'est du Starlink, donc CGNAT.

Sound2Fiber · « **Réponse #3 le:** 21 mai 2025 à 17:36:02 »

Bonjour

@boho

Je cherche à monter exactement la même config et je me permets de solliciter ton aide ou celle de quelqu'un qui l'a déjà fait.
Liaison Site 2 Site via Unifi Site Magic avec du Starlink d'un coté.

- Le hub a bien une IP public en FTTH avec un UDM direct derrière mon ONT -> ça c'est OK
- En revanche le ou les spoke-clients UDM/UCG dont l'un est derrière un Starlink (donc adresse privée / CGNAT) ne veulent pas se connecter sur l'interface Site Magic et restent en erreur.

J'ai le sentiment de passer à coté de quelque chose et je tourne en rond...
Est-ce que l'un de vous aurait une idée ?
Merci par avance pour votre aide.

boho · « **Réponse #4 le:** 21 mai 2025 à 18:30:34 »

Difficile à dire pourquoi ça ne marche pas. En tout cas, j'ai eu le combo RED / Starlink qui a parfaitement fonctionné pendant à peu prés un an. Je suis passé à RED FTTH / Orange FTTH plus récemment et tout a fonctionné dans toucher à rien.

Tous les sites sont bien rattachés au même compte Unifi?
L'utilisateur a bien des droit d'admin sur les sites en question?

Sound2Fiber · « **Réponse #5 le:** 21 mai 2025 à 19:13:59 »

Alors avant tout merci d'avoir pris le temps de répondre aussi rapidement et sur un post qui date !

Voici un screen de mon interface Site Magic :

Mon hub a bien une IP public que j'ai masqué et il est connecté.

Mes 2 "spokes" n'arrivent pas à se connecter.
Dans la colonne "WAN" on voit bien qu'ils portent des IP privées puisqu'ils tous les 2 derrières des box FAI (une fibre et un Starlink).

J'ai beau regarder des videos qui traitent du sujet, je n'arrive pas à passer cette étape.
Dans mon esprit il n'y a rien à "ouvrir" sur les routeurs en spokes car ils se connectent vers le hub. Mais peut-être ai-je mal compris.

- Avais-tu paramétré quelque chose dans les routeurs en CGNAT ?
- Est ce que ton UDR était en "bridge" derrière ta starlink ?

J'ai essayé de mettre mon 2nd UDM "spoke" derrière une box orange avec une DMZ (qui fonctionne puisque j'arrive à faire un serveur VPN Wireguard avec).

Je suis preneur de toute idée ou suggestion.

Fyr · « **Réponse #6 le:** 21 mai 2025 à 23:31:54 »

Bah si ça utilise un port qui n'est pas dispo dans la plage CGNATé pour sortir c'est mort

boho · « **Réponse #7 le:** 22 mai 2025 à 07:27:18 »

Je ne vois rien de spécial dans ma config si ce n'est que je mets toujours le routeur Unifi dans une DMZ open bar. Heritage des configs OpenVPN manuelles Ubiquiti d'avant Wireguard...

Sinon ptet une histoire de ports CGNAT comme dit par Fyr, mais il me semble (je n'ai pas ressorti la doc) que le bidule est sensé se débrouiller tout seul.
De mémoire, le seul gros pré-requis est l'IP publique coté Hub, ce qui au passage commence à sérieusement m'inquiéter vue les déboires financiers de SFR, car la connexion directe sans la box c'est le gros avantage de RED. Tant que ça dure.

S'il y a des soucis de ports CGNAT, ça voudrait dire que j'ai eu du bol car tout a fonctionné avec Starlink et j'ai même eu une connexion 4G sans rien toucher. Vérifie peut être que tous les routeurs soient bien en DMZ.

Sinon (ne le dis à personne ici

) je n'ai toujours pas activé l'IPV6 ce qui peut avoir son importance. Le Gaston Lagaffe d'Ubiquiti pourrait encore avoir frappé.

boho · « **Réponse #8 le:** 22 mai 2025 à 07:30:59 »

Et sinon (mais ce serait très baroque):

from r/Ubiquiti

You need a rule on the remote site behind CGNAT permitting Internet In with the source being the remote network and the destination being the local network. UI sucks. I came here looking for a solution and then not finding one other than site magic started poking at it with Wireshark. This fixed it for me. It's lame... but hey that's UI.

Fyr · « **Réponse #9 le:** 22 mai 2025 à 12:31:34 »

Ahhh ce serait la règle du trafic retour qui peut pas se faire automatiquement et faut ouvrir le firewall sur l'IP source du hub

zoc · « **Réponse #10 le:** 22 mai 2025 à 14:20:30 »

C'est étrange pour un truc basé sur Wireguard, qui en général passe à travers tout ce qui est possible et survit aux changements fréquents d'adresses (surtout si les client wireguard derrière un (CG)NAT sont configurés avec un KeepAlive court).

Sound2Fiber · « **Réponse #11 le:** 22 mai 2025 à 15:05:04 »

@Boho
@Fyr

Merci pour ces pistes ! Je continue de creuser.
Je reviens donner l'info si je trouve et que ça peut servir à d'autres ;-)