¡Hola a todos!
Como muchos de ustedes saben, ¡agregaron la configuración de Wireguard en la sección VPN de la interfaz de usuario de Unifi Network! Sin embargo, en su infinita sabiduría, hacen validación de puertos en el servidor cuando lo configuras, lo que significa que no puedes poner el servidor en un puerto como 80 o 443.
¡Pero! Puedes agregar una regla de reenvío de puertos de la siguiente manera: En Firewall y Seguridad, añade una regla de Reenvío de Puertos desde Cualquier desde el Puerto 80 (o cualquier puerto “restringido” que desees) a la dirección del host (IP de reenvío) y que uses al crear el servidor Wireguard en la interfaz, y el puerto que le diste al servidor, como 51820 (Puerto de reenvío).
Me gustaría bloquear ahora el puerto todavía abierto (por ejemplo, 51820) y permitir que el tráfico pase solo por el puerto 80. Intenté crear una regla de firewall de Entrada en Internet que bloquee cualquier grupo de direcciones de origen desde el puerto 51820 UDP, pero eso no parece funcionar. También intenté configurar el bloqueo como Destino y eso tampoco funcionó.
¿Cómo puedo bloquear correctamente el puerto abierto del servidor Wireguard que viene desde WAN hacia la Puerta de enlace, ahora que el reenvío de puertos funciona correctamente?
¡Hola! Gracias por publicar en r/Ubiquiti!
Este subreddit está aquí para proporcionar soporte técnico no oficial a las personas que usan o quieren sumergirse en el mundo de los productos Ubiquiti. Si aún no has sido descriptivo en tu publicación, tómate el tiempo para editarla y agregar tantos detalles útiles como puedas.
Por favor, lee y comprende las reglas en la barra lateral, ya que los posts y comentarios que las violen serán eliminados. Coloca todas las publicaciones fuera de tema en el hilo semanal de temas fuera, que está fijado en la parte superior del subreddit.
Si ves a personas difundiendo desinformación, intentando engañar a otros u otro comportamiento inapropiado, ¡por favor reporta!
Soy un bot, y esta acción fue realizada automáticamente. Por favor, contacta a los moderadores de este subreddit si tienes alguna pregunta o preocupación.
Dado que WireGuard solo usa UDP, los escaneos de puertos no lo detectan… solo responde a paquetes con las claves correctas. No responde a tu pregunta, pero tal vez te ayude a sentirte mejor dejando abierto el puerto 51820.
Todo el tráfico entrante para WireGuard entra en su propia VLAN. Solo bloquea todo el tráfico de esa VLAN con una regla de firewall de Salida LAN que bloquea todo el tráfico hacia otras LANs/VLANs.
Yo tengo una de esas, y justo antes tengo una regla de Permitir Salida LAN para un conjunto específico de IPs que quiero acceder internamente.
¿Has probado usar Tailscale en su lugar? No necesita puertos, configuración sencilla para eso…
100%
Será igual de seguro, y realmente no diferente, a tenerlo disponible en el puerto 80, pero aún así calma esa inquietud en mi cerebro de querer saber cómo bloquear correctamente el tráfico hacia el puerto jaja
¡Gracias por la respuesta! Las cosas ya están funcionando muy bien para la red interna, y todo está correctamente bloqueado/permitido entre la VLAN VPN y las otras redes. Específicamente intento bloquear el puerto “predeterminado” abierto en WAN por el servidor VPN, para que el único puerto abierto en WAN sea el de la regla de reenvío de puertos, que enruta correctamente al servidor VPN creado por Unifi.
En otras palabras, hay dos puertos WAN abiertos, el creado por defecto por el servidor Wireguard, y otro vía Reenvío de Puertos. Me gustaría configurar una regla para bloquear el tráfico hacia el puerto predeterminado en el WAN.
Un poco tarde, pero también trato de bloquear el acceso desde los clientes VPN a las IPs de varias interfaces administrativas. Hasta ahora sin suerte. He configurado un bloqueo general de LAN desde la subred de Wireguard a cualquier sitio, pero no funciona. Intenté especificar explícitamente las IPs de las interfaces administrativas como destino, pero tampoco funciona. ¿Alguna idea?
Nunca lo probé hasta que vi tu publicación aquí. Puedo hacer ping a la IP de mi interfaz administrativa, pero no puedo acceder a la interfaz con la regla de firewall anterior en vigor.
¡Gracias por la respuesta!
Lamentablemente, parece que no funciona para mí… Hace falta investigar más 
(Aunque bloquea todo lo demás como se espera)