Aviso: no soy un experto en redes, ¡la solución podría ser muy sencilla - gracias de antemano!
Tengo un Unifi UCG Ultra configurado con varias redes y todo funciona muy bien. Ahora tengo un dispositivo de terceros (una caja VPN de un proveedor que aloja parte de nuestra infraestructura).
Mi red predeterminada, a la que está conectado el router VPN, es 192.168.0.0/20.
La caja VPN está configurada con IP estática 172.16.31.129 en una subred 172.16.31.128/27. Sin servidor DHCP. Si configuro manualmente mi IP por ejemplo en 172.16.31.132 puedo acceder a la caja sin problema.
Lo que quiero conseguir es que el UCG Ultra dirija el tráfico a 172.16.31.128/27 a través del router VPN en 172.16.31.129.
Además, necesito configurar otra ruta estática hacia la IP 10.230.56.31 para que también sea enrutada a través del router VPN en 172.16.31.129.
Aquí están las rutas que he intentado configurar en el UCG Ultra.
Cuando me conecto por SSH al UCG y ejecuto
ip route show all, no aparece ninguna mención de las dos rutas estáticas, lo que me deja algo confundido. La enrutación, por supuesto, no funciona - por eso mi publicación aquí.
Gracias por cualquier consejo en la dirección correcta, ¡lo aprecio mucho!
¡Hola! Gracias por publicar en r/Ubiquiti!
Este subreddit está aquí para ofrecer soporte técnico no oficial a personas que usan o quieren adentrarse en el mundo de los productos Ubiquiti. Si aún no has sido lo bastante descriptivo en tu publicación, tómate el tiempo para editarla y agregar tantos detalles útiles como puedas.
Por favor, lee y comprende las reglas en la barra lateral, ya que las publicaciones y comentarios que las violen serán eliminados. Coloca todas las publicaciones fuera de tema en el hilo semanal de fuera de tema que está fijado en la parte superior del subreddit.
Si ves que alguien difunde desinformación, intenta engañar a otros u otra conducta inapropiada, por favor reporta.
Soy un bot, y esta acción fue realizada automáticamente. Por favor, contacta a los moderadores de este subreddit si tienes alguna pregunta o inquietud.
Las rutas no funcionan porque el UCG no tiene idea de cómo alcanzar 172.16.31.129 - para que una IP sea el siguiente salto de una ruta estática, debe estar dentro de una subred que tenga el router, para poder encontrarla mediante ARP.
Por favor aclara cómo están conectadas las cosas. Parece que la interfaz WAN del router VPN está conectada a la LAN del UCG. Si ese es el caso, entonces usarías la IP WAN que recibe el router VPN (192.168.x.x) como la IP del siguiente salto, y probablemente tendrías que modificar el firewall/ACL en el router VPN para permitir conexiones entrantes desde su puerto WAN.
Quizás puedas lograr esto conectando la caja VPN desde su puerto WAN a una interfaz LAN del UCG, y conectar el puerto LAN de la caja VPN al puerto WAN2 del UCG y configurarlo como una conexión WAN separada sin conmutación por error. Entonces, puedes enrutar el tráfico a tu subred remota a través de WAN2 y eso hará que pase por la caja VPN y eventualmente llegue al otro lado de la VPN.
No tengo certeza de que esto funcione, pero es lo único que se me ocurre que podría funcionar en un dispositivo que no tiene puertos para hacer lo que quieras, como un firewall de más nivel empresarial.
Gracias u/brwainer, aprecio la respuesta.
Actualmente tanto la parte WAN como LAN del router VPN están conectadas a la LAN del UCG. La WAN para permitir el acceso externo, y la LAN para poder conectarnos al servidor local en la LAN del VPN.
Es un setup raro, de acuerdo, pero es la única forma en que nuestro proveedor puede ofrecerlo. Es una lástima.
Gracias u/TapeDeck_. He probado algo y al hacerlo de esta forma, se añade la ruta a la tabla de enrutamiento del UCG, pero aún no hay respuesta a un ping desde el UCG - parece que no configura correctamente la puerta de enlace (debería ser 172.16.31.129, no 172.16.31.149).
5.xx.xx.xx/27 dev eth4 proto kernel scope link src 5.xx.xx.xx
172.16.31.128/27 dev eth3 proto kernel scope link src 172.16.31.149
192.168.0.0/20 dev br0 proto kernel scope link src 192.168.1.1
192.168.16.0/24 dev tun1 proto kernel scope link src 192.168.16.1
192.168.100.0/24 dev br100 proto kernel scope link src 192.168.100.1
192.168.200.0/22 dev br200 proto kernel scope link src 192.168.200.1
192.168.210.0/24 dev br210 proto kernel scope link src 192.168.210.1
root@XXX:~# ping 172.16.31.129
PING 172.16.31.129 (172.16.31.129) 56(84) bytes of data.
172.16.31.129 ping statistics --- 1 packets transmitted, 0 received, 100% packet loss, time 0ms
En ese caso, haría otra red en el UCG, usando una VLAN, para la LAN del router VPN. Puedes asignar al UCG una IP en la subred 172.16.31.128/27 y así podrá encontrar la IP local y enrutarla.
Eso no es una ruta con el siguiente salto de 172.16.31.149, ese IP es la fuente que deben usar los paquetes al salir de esa ruta, que en realidad es una entrada de subred local que apunta al puerto eth3. Debes haber añadido 172.16.31.149/27 a un puerto del UCG.
