Utilisez uniquement la Swisscom Box Plus comme modem devant Ubiquiti USG

Malheureusement, les box Internet Swisscom actuelles ne permettent pas un fonctionnement par modem pur et le passthrough IP n’est pas non plus possible. Il n’existe qu’un seul type d’opération DMZ.

Mon collègue @Anonyme a probablement une solution pour vous…

J’ai également un routeur tiers fonctionnant derrière l’IB2. Mieux vaut dire un pare-feu pfSense. Le moyen le plus simple consiste à connecter le routeur tiers à l’IB via le WAN Anschluss. Étant donné que l’Ubiquiti USG utilise l’IP 192.168.1.1, il y a un conflit avec l’IB car il utilise la même IP. Il est donc important de changer l’adresse IP du routeur étranger en 192.168.x.1, où x représente un nombre compris entre 2 et 250 (par exemple 192.168.37.1).

Cette variante présente un inconvénient : IPv6 ne fonctionnera guère car l’IB ne distribue qu’un sous-réseau de 64.

Vous pouvez activer le mode DMZ sur l’USG sur l’IN.
Salutation

suchender

Vous devez activer le proxy igmp sur l’USG et ajouter 2 règles de pare-feu. L’activation du proxy se fait via le fichier config.gateway.json.

Vous pouvez trouver les bases du fichier config.gateway.json ici :

[https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json] (https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json)

À l’aide de n’importe quel éditeur de texte, créez le fichier config.gateway.json avec le code ci-dessous (s’applique à l’USG 3P), où.json est la fin.

{
“protocoles”: {
“igmp-proxy”: {
“interface”: {
“eth0”: {
“alt-subnet”: [ “0.0.0.0/0” ],
“role”: “en amont”,
“seuil”: “1”
},
“eth1”: {
“alt-subnet”: [ “0.0.0.0/0” ],
“role”: “en aval”,
“seuil”: “1”
}
}
}
}
}

Copiez ensuite le fichier dans le chemin correct en fonction du contrôleur. Si nécessaire, vérifiez le code au préalable avec un validateur JSON, par exemple avec https://jsonlint.com

Redémarrez USG. S’il ne démarre plus, il y a un problème avec le fichier json.

Saisissez ensuite 2 règles de pare-feu dans le contrôleur :

Préparation de la première règle, un groupe de pare-feu :

Créez une règle sous « WAN entrant » : sous Source - Groupe d’adresses, insérez le groupe précédemment créé :

Créez une règle sous « WAN Local » :

Activez la fonction IGMP Snooping dans les paramètres réseau du LAN, sinon le réseau sera inondé. Attention, le paramètre peut être perdu lors d’autres processus de configuration sur l’USG, mais le problème demeure. Vous pouvez savoir quand toutes les LED du commutateur clignotent au même rythme ou remarquer quand le WLAN ne fonctionne plus correctement. Éteignez-le et rallumez-le simplement. C’est comme ça depuis plusieurs versions, cela semble être un bug.

Si tout est configuré correctement, il ne devrait y avoir aucune interruption de flux après le provisionnement de l’USG.

L’USG Pro-4 nomme les ports différemment. Cela doit être ajusté dans la configuration.

Sur l’USG Pro-4, WAN1=eth2, LAN1=eth0, puis LAN2=eth1 et WAN2=eth3 le seront probablement (je ne peux pas vérifier).

L’USG 3P a l’affectation suivante : WAN=eth0, LAN=eth1, VOIP=eth2.

Si vous disposez d’une interface VLAN qui doit accéder au, alors le VLAN est écrit après l’IF, par exemple eth0.99 pour VLAN99 sur le port eth0.

Vous pouvez également ajouter plus de IF à la configuration. Il est important que le json soit valide.

Bonjour Roli, il me semble que vous comprenez quelque chose - dans cette constellation, tout semble fonctionner jusqu’à présent. Ce que je n’arrive pas à gérer, c’est la communication unidirectionnelle entre 2 VLAN. Je crée VLAN1 et VLAN2 dans “Corporate” qui peuvent communiquer entre eux par défaut. Après cela, je crée des règles dans LAN IN VLAN1 vers VLAN2 Supprimer tout (Nouveau + Invalide) et des Règles LAN IN VLAN 2 vers VLAN1 Accepter tout (Nouveau + Établi), mais peu importe ce que j’ai défini (avec groupe ou NETv4), le connexion entre Les VLAN sont soit ouverts des deux côtés, soit bloqués des deux côtés. Il doit y avoir une solution à la cascade dans une direction ? Sur le forum Ubiquiti, j’ai suivi deux ou trois solutions possibles, mais malheureusement celles-ci ne conduisent pas non plus au résultat souhaité. Est-ce que cela fonctionne pour vous ? Merci beaucoup pour votre aide.

Salut @MVadmin,

Je n’utilise pas une telle règle, mais depuis le navire, je dirais que la règle n’est pas au bon endroit :smileywink:

Je l’ai testé brièvement : créez une règle dans LAN local


J’ai donc pu envoyer une requête ping à la passerelle depuis le VLAN 51 depuis le LAN. Lorsque j’échange la source et la destination, le GW n’était plus accessible.

Vous pouvez vous épargner la règle « autoriser ».

Dans votre cas, vlan1 = source, vlan2 = destination.

Essayez de voir si cela convient.

Salutations

Roli

Bonjour Roli, merci beaucoup pour votre aide. Malheureusement, je ne vois pas ta photo, mais cela me rend très curieux 😉

Je m’entraîne à nouveau depuis le matin, mais peu importe ce que je change dans le LAN LOCAL, il ne semble y avoir aucune règle - pour moi, je peux toujours cingler avec succès dans les deux sens (VLAN1 vers VLAN2 et VLAN2 vers VLAN1).

J’ai testé entre autres les solutions suivantes, mais comme je l’ai dit, malheureusement sans succès

https://community.ubnt.com/t5/UniFi-Routing-Switching/Help-Needed-Setup-several-différent-VLAN-s-with-access-to/m-p/1823011#M35027

et

https://community.ubnt.com/t5/UniFi-Routing-Switching/firewall-rules-via-new-GUI-for-isolating-VLAN-traffic-using/td-p/1715102

Salutations

Salut @MVadmin,

Ma tentative hier était LAN vers VLAN, pas tout à fait le même scénario. Mais je ne m’attendais pas à ce que ce soit si grave.

Je l’ai recréé avec 2 VLAN et je l’ai fait fonctionner deux fois. Les tentatives restantes étaient, comme vous l’avez écrit, soit bloquées des deux côtés, soit ouvertes des deux côtés. J’ai remarqué que le gouvernement américain ne fournit pas toujours de dispositions. Quelles versions du contrôleur et de l’USG utilisez-vous ?

Salutations

Salut Roli, oui, c’est aussi ce que je soupçonne. Avec quels paramètres l’as-tu fait fonctionner ? J’utilise un Unifi USG avec la version : 4.3.41.4975503 et avec la version du contrôleur : 5.4.15_9230. Une fois que cela fonctionnera, l’idée serait de passer à un USG-PRO-4 avec US-48. Est-ce que ça marche mieux là-bas ?

Salutations

J’ai 5.6.4 comme contrôleur, considéré comme instable. Faites une sauvegarde et installez le candidat stable 5.5.14. La différence entre l’USG 3P et le Pro-4 réside dans les performances du processeur plus élevées, un port supplémentaire (2x WAN, 2x LAN) et le type de boîtier. Le système d’exploitation est le même, aucune amélioration n’est donc attendue.

Donnez-moi un aperçu de votre système et de ce que vous voulez faire exactement via MP, il existe peut-être une solution de contournement.

Bonjour à tous

J’aimerais mettre en place la même chose pour moi mais je n’arrive à rien.

J’ai lu le sujet de la propriété intellectuelle dans les forums.

C’est pourquoi j’ai fixé le standard de la box Internet à 192.168.1.2 et l’USG à 192.168.1.1.

Je souhaite en fait un port de la box Internet via l’USG et les trois autres ports directement sur le Swisscom TV Box.

J’ai donc connecté le tout et l’ai intégré à mon réseau existant. Je trouve également la passerelle dans l’Unifi Controller, mais Internet ne fonctionne pas. Je ne peux donc plus accéder à la Box Internet.

J’espère que quelqu’un pourra me donner un conseil sur la façon de commencer ici.

Merci et salutations

Bonjour @Vogelfrei_2,

Vous avez trouvé le bon fil. Comme je vous l’ai déjà écrit dans le fil de discussion que vous avez créé, la solution est ici.

Vous devez utiliser votre propre sous-réseau pour l’IB qui n’est PAS dans la même plage que votre réseau local. Soit prenez 172.16.1.1/24 comme décrit, soit autre chose, mais pas 192.168.1.1/24.

IB2 :

- IP 172.16.1.1/24 //J’utilise explicitement une classe B, mes réseaux internes sont des classes C

- IP statique DHCP pour USG sur 172.16.1.254 // il s’agit de l’adresse WAN de l’USG, importante pour que le DHCP de l’IB soit en cours d’exécution. L’USG prend une adresse dans la zone DHCP de l’IB.

- Définir DMZ sur USG

- Activer DDNS depuis SC //pour que le système soit accessible de l’extérieur via DNS, est facultatif

USG :

- Réglez le WAN sur DHCP

Lisez le message du 3 mai 2017 à 19h30 - si cela fonctionne, continuez avec le message du 7 mai 2017 à 16h06.

Si vous avez d’autres questions, envoyez-moi un MP.

Salutations Roli

Salut BurningRoli

Merci beaucoup pour votre aide, j’étais encore occupé hier et je pensais que je n’y arriverais pas. Mais j’y suis parvenu hier avec les données d’ici 🙂

Maintenant, j’ai un autre problème que je ne comprends pas entièrement. J’utilise un CloudKey, un Switch et un AP de la gamme Unifi. J’ai aussi l’application de statut, tout y a fonctionné hier et ce matin. Mais maintenant, je ne peux plus y accéder via l’application. Cependant, l’état de tous les appareils est bleu.

Mon NAS n’est également plus accessible.

Aujourd’hui, l’alimentation a été brièvement coupée et tous les appareils étaient hors ligne, mais je n’ai rien changé d’autre. A quoi cela peut-il être dû ?

Avez-vous une idée de comment je peux récupérer ça ?