UniFi – USG/UDM: Bağlantı Noktası Yönlendirme Yapılandırması ve Sorun Giderme

UniFi Bağlantı Noktası

UniFi – USG/UDM: Bağlantı Noktası Yönlendirme Yapılandırması ve Sorun Giderme

Gereksinimler

• Tüm UDM ve USG modellerinde en son üretici yazılımı için geçerlidir.
• Bağlantı Noktası Yönlendirme özelliği, USG modellerinde yalnızca WAN1 üzerinde çalışacak şekilde tasarlanmıştır, ancak UDM-Pro’da hem WAN1 hem de WAN2’yi kullanabilir.
• USG modellerinde WAN2 arabirimindeki bağlantı noktalarını iletmek için bir Hedef NAT (DNAT) + WAN güvenlik duvarı kuralının/kurallarının manuel olarak yapılandırılması gerekir, aşağıdaki bölüme bakın.

Sıkça Sorulan Sorular (SSS)

Bağlantı Noktası Yönlendirme Kuralı Yapılandırma

1. Ayarlar > Gelişmiş Özellikler > Gelişmiş Ağ Geçidi Ayarları’ na gidin ve yeni bağlantı noktası yönlendirme oluşturun .

2. Ayarları doldurun:

• isim: web sunucusu
• Yönlendirme Kuralını Etkinleştir: Bu kuralı etkinleştirmeye hazır olduğunuzda bunu açın
• Arayüz:  WAN / WAN2 / İkisi (yalnızca UDM Pro)
• Gönderen: Her Yerden veya Sınırlı
• Liman: 443
• İleri IP: 192.168.1.10
• İleri Bağlantı Noktası: 443
• Protokol: TCP
• Günlüğe kaydetme: İsteğe bağlı

3. Değişiklikleri uygulayın.

Not: USG modellerinde, WAN2 arabirimindeki bağlantı noktalarını iletmek için bir Hedef NAT (DNAT) + WAN güvenlik duvarı kuralının manuel olarak yapılandırılması gerekir, aşağıdaki bölüme bakın.

4. Oluşturduğunuz yeni Bağlantı Noktası Yönlendirme kuralı için gereken güvenlik duvarı kuralı/kuralları otomatik olarak eklenir.

5. Otomatik olarak oluşturulan kuralları  Ayarlar > Güvenlik > İnternet Tehdit Yönetimi > Güvenlik Duvarı > İnternet bölümünden doğrulayabilirsiniz.

USG/USG-Pro: Hedef NAT kullanarak WAN2’deki Bağlantı Noktalarını Yönlendirme

DİKKAT: Bu, config.gateway.json dosyasının oluşturulmasını ve değiştirilmesini gerektiren gelişmiş bir yapılandırmadır  .  JSON dosyasını kullanma hakkında daha fazla bilgi için UniFi – USG/USG-Pro: JSON Kullanarak Gelişmiş Yapılandırma makalesine bakın.

USG modellerinin WAN2 arabirimindeki bağlantı noktalarını yönlendirmek için aşağıdaki adımları izleyin. Komut Satırı Arayüzü (CLI) kullanılarak bir Hedef NAT (DNAT) kuralı ve UniFi Network uygulamasını kullanarak özel bir Güvenlik Duvarı Kuralı oluşturmak gerekir. Ardından, özel yapılandırmayı UniFi Ağına dahil etmek için config.gateway.json dosyasının oluşturulması veya güncellenmesi gerekir.

1. Ayarlar > Güvenlik > İnternet Tehdidi Yönetimi > Güvenlik Duvarı > İnternet  bölümünde yeni bir özel Güvenlik Duvarı Kuralı oluşturarak başlayın  .

2. Yeni Grup Oluştur öğesine tıklayarak yeni bir Güvenlik Duvarı Bağlantı Noktası Grubu oluşturun .

3. Bilgileri doldurun ve güvenlik duvarı üzerinden izin verilmesi gereken bağlantı noktasını belirtin (bu örnekte 443) ve değişiklikleri uygulayın.

• İsim: https
• Tür: Liman Grubu
• Liman: 443

4.    Ayarlar > Güvenlik > İnternet Tehdit Yönetimi > Güvenlik Duvarı > İnternet’e  gidin ve  yeni kural oluşturun .

5. Daha önce oluşturulan Port Grubunu seçerek bilgileri doldurun ve değişiklikleri uygulayın.

• Genel
  • Tür: İnternet Girişi
  • tanım: web sunucusu
  • Etkin: Bu kuralı yayınlamaya hazır olduğunda açılır
  • Uygulanan Kural: Sonra (önceden tanımlanmış kurallardan sonra)
  • Eylem: Kabul et
  • IPv4 Protokolü: TCP
  • Bunun dışındaki tüm protokolleri eşleştirin: devre dışı
• Kaynak: Opsiyonel
• Hedef
  • Hedef Türü: Adres/Liman Grubu
  • IPv4 Adres Grubu: Herhangi
  • Bağlantı Noktası Grubu: https (önceden oluşturulmuş güvenlik duvarı bağlantı noktası gruplarından birini seçin)
• Gelişmiş: İsteğe bağlı

6. Sonraki adım, Komut Satırı Arayüzü (CLI) kullanarak USG’ye erişmek ve özel bir Hedef NAT (DNAT) kuralı eklemektir. Cihazlarınıza SSH erişimi, Ayarlar > Sistem Ayarları > Denetleyici Yapılandırması > Cihaz SSH Kimlik Doğrulaması içinde etkinleştirilmelidir    .

7. USG’ye SSH ile bağlanın.

8. Aşağıdaki komutu çalıştırarak WAN2 arabiriminin YUKARI olduğunu ve bir IP adresi atandığını doğrulayın:

arayüzleri göster; sudo ipset listesi ADDRv4_eth2

unifiadmin@usg:~$ arayüzleri göster 
Kodlar: S - Durum, L - Bağlantı, u - Yukarı, D - Aşağı, A - Yönetici Aşağı
Arayüz IP Adresi S/L Açıklama                 
--------- ---------- --- -----------                 
eth0 203.0.113.1/24 u/u WAN                         
eth1 192.168.1.1/24 u/u LAN                         
eth2 192.0.2.1/24 u/u WAN2                           
lo 127.0.0.1/8 u/u                              
             ::1/128

unifiadmin@usg:~$ sudo ipset listesi ADDRv4_eth2
Ad: ADDRv4_eth2
Tür: karma:net
Revizyon: 3
Başlık: family inet hashsize 1024 maxelem 65536
Bellekteki boyut: 16792
Referanslar: 1
Üyeler:
192.0.2.1

NOT: ADDRv4_eth2 , eth2 arayüzüne atanan IP adresini otomatik olarak kullanan özel bir adres grubudur . USG-Pro’da, WAN2 arayüzü bunun yerine eth3’ü kullanır ve bu nedenle adres grubu ADDRv4_eth3 olacaktır .

9. Yazıp enter tuşuna basarak yapılandırma moduna configuregirin.

10. USG/USG-Pro’nun WAN2 arayüzü için Hedef NAT kuralını ekleyin (USG-Pro için eth2’yi eth3 ile değiştirin ):

hizmet nat kuralı 4001 açıklama 'web sunucusu' 
ayarla hizmet nat kuralı 4001 hedef grup adres grubu ADDRv4_eth2
 hizmet nat kuralı 4001 hedef bağlantı noktası 443 
ayarla hizmet nat kuralı 4001 gelen-arayüz eth2
 ayarla hizmet nat kuralı 4001 adres içi adres 192.168.1.10 
ayarla hizmet nat kuralı 4001 adres içi bağlantı noktası 443'ü 
ayarla hizmet nat kuralı 4001 protokolü tcp'yi 
ayarla hizmet nat kuralı 4001 türü hedef

11. Değişiklikleri onaylayın ve yazıp enter tuşuna basarak çalışma moduna geri dönün.commit ; exit

Bu, sürecin bir örneğidir:

12. Tüm yapılandırmayı JSON biçiminde görüntülemek için mca-ctrl -t dump-cfg komutunu kullanın:

mca-ctrl -t dökümü-cfg

13. JSON biçimindeki yapılandırmanın Hedef NAT bölümü daha sonra config.gateway.json dosyasında kullanılabilir.

{
       "hizmet": {
                "nat": {
                        "kural": {
                                "4001": {
                                        "açıklama": "web sunucusu",
                                        "hedef": {
                                                "grup": {
                                                        "adres grubu": "ADDRv4_eth2"
                                                },
                                                "bağlantı noktası": "443"
                                        },
                                        "gelen arayüz": "eth2",
                                        "Adres İçinde": {
                                                "adres": "192.168.1.10",
                                                "bağlantı noktası": "443"
                                        },
                                        "protokol": "tcp",
                                        "type": "hedef"
                                }
                        }
                }
       }
}

14. config.gateway.json dosyasının  nasıl oluşturulacağı ve değiştirileceği hakkında daha fazla bilgi için  UniFi – USG/USG-Pro: JSON Kullanarak Gelişmiş Yapılandırma makalesine bakın.

Bağlantı Noktası İletme Sorunlarını Giderme

Bağlantı Noktası Yönlendirme veya özel Hedef NAT kuralı çalışmıyorsa aşağıdaki sorun giderme adımlarına bakın. Aşağıdaki seçeneklerden biri neden olabilir:

   Olası Neden 1 – USG/UDM, NAT’ın arkasında bulunur ve genel bir IP adresine sahip değildir.

   Olası Neden #2 – UDM/USG, bağlantı noktasını zaten başka bir cihaza yönlendiriyor veya UPnP’yi etkinleştirdi.

   Olası Neden #3 –  İnternet istemcilerinden gelen trafik UDM/USG’nin WAN arayüzüne ulaşmıyor.

  Olası Neden #4 –  LAN ana bilgisayarı, yerel güvenlik duvarı üzerinden bağlantı noktasına izin vermiyor veya doğru rota yapılandırılmamış.

İlgili Makaleler

Ağ Oluşturmaya Giriş – SSH Kullanarak Bağlantı Nasıl Kurulur