请选择 进入手机版 | 继续访问电脑版
123
返回列表 发新帖
楼主: benjaminlei

[分享] USG 双WAN策略路由配置示例

[复制链接]

43

主题

503

帖子

1976

积分

有线传输

Rank: 5

积分
1976
发表于 2018-3-6 11:13:03 | 显示全部楼层
KingWong 发表于 2018-3-6 09:23
好的。马上测试。

目前为止一切正常。
回复 支持 反对

使用道具 举报

43

主题

503

帖子

1976

积分

有线传输

Rank: 5

积分
1976
发表于 2018-3-9 15:15:46 | 显示全部楼层
本帖最后由 KingWong 于 2018-3-9 15:29 编辑
benjaminlei 发表于 2018-3-5 22:14
1、在unifi web里预留了一个address群组,把nas的IP放进去就强制走wan1了,ddns就不会出错。
3、除了创建 ...

咨询一下端口转发的操作。
我刚新增个PLEX的端口转发,在WEB UI中设置了,确定后端口就已经转发了。
是我需要在JSON中在补一段吗?
还是后期端口转发,webui不用做,直接在JSON中增加?


另外执行完chnroute脚本,是不是应该config.gateway.json中原来预留的Chnroute的地方会被填写完成。
我刚修改中JSON中增加端口转发的时候,发现还是这一段还是空的。
回复 支持 反对

使用道具 举报

19

主题

244

帖子

1374

积分

有线传输

Rank: 5

积分
1374
 楼主| 发表于 2018-3-9 17:03:49 来自手机 | 显示全部楼层
KingWong 发表于 2018-3-9 15:15
咨询一下端口转发的操作。
我刚新增个PLEX的端口转发,在WEB UI中设置了,确定后端口就已经转发了。
是我 ...

web中要交。json也要加,json中加的是让plex服务不走pbr。Linux脚本是加载到内存,不填充json。
回复 支持 反对

使用道具 举报

43

主题

503

帖子

1976

积分

有线传输

Rank: 5

积分
1976
发表于 2018-3-9 21:56:59 | 显示全部楼层
benjaminlei 发表于 2018-3-9 17:03
web中要交。json也要加,json中加的是让plex服务不走pbr。Linux脚本是加载到内存,不填充json。 ...

了解了
回复 支持 反对

使用道具 举报

43

主题

503

帖子

1976

积分

有线传输

Rank: 5

积分
1976
发表于 2018-3-10 20:41:53 | 显示全部楼层
本帖最后由 KingWong 于 2018-3-10 20:52 编辑
benjaminlei 发表于 2018-3-9 17:03
web中要交。json也要加,json中加的是让plex服务不走pbr。Linux脚本是加载到内存,不填充json。 ...

咨询一下,有关Chnroute的脚本。我刚重新执行了一下gateway2.sh.
发现:
  1. #!/bin/bash
  2. #把chnroute.txt放在/config/user-data/下
  3. CHNROUTE_RULES=/config/user-data/chnroute.txt
  4. CHNROUTE_RULES_CACHE=/config/user-data/chnroute.ipset

  5.   if [ -e $CHNROUTE_RULES_CACHE ]; then
  6.       ipset -! restore < $CHNROUTE_RULES_CACHE
  7.   else
  8.       sed -e "s/^/add chnroute &/g" $CHNROUTE_RULES | awk '{print $0} END{print "COMMIT"}' | ipset -R
  9.       ipset save chnroute > $CHNROUTE_RULES_CACHE
  10.   fi
复制代码
报错说 ipset: command not found.是不是要先安装ipset在执行这个脚本啊。这么安装Ipset呢。百度的其他的安装命令在USG上执行不了。




另外为啥第一次执行这个.sh的时候没报错呢。


以上,请有空给予指点。




补充:
使用
  1. apt-get install ipset
  2. Reading package lists... Done
  3. Building dependency tree... Done
  4. ipset is already the newest version.
  5. 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
  6. root@USG:/config/scripts/post-config.d# sh gateway2.sh      
复制代码
apt-get install ipset后提示已经是最新版本。

然后在执行sh gateway2.shj就没有再报错了。




执行完 对应目录文件内容如下图;
WX20180310-205148@2x.png

回复 支持 反对

使用道具 举报

19

主题

244

帖子

1374

积分

有线传输

Rank: 5

积分
1374
 楼主| 发表于 2018-3-10 21:22:38 | 显示全部楼层
KingWong 发表于 2018-3-10 20:41
咨询一下,有关Chnroute的脚本。我刚重新执行了一下gateway2.sh.
发现:报错说 ipset: command not found. ...

sudo -i
chmod a+x gateway2.sh
./gateway2.sh



!!!!!!!sudo -i !!!!!!!!!!!
回复 支持 反对

使用道具 举报

43

主题

503

帖子

1976

积分

有线传输

Rank: 5

积分
1976
发表于 2018-3-11 12:55:25 | 显示全部楼层
benjaminlei 发表于 2018-3-10 21:22
sudo -i
chmod a+x gateway2.sh
./gateway2.sh

已执行~~~多谢。测试一下还有老问题没。
回复 支持 反对

使用道具 举报

0

主题

39

帖子

56

积分

伏地听声

Rank: 2Rank: 2

积分
56
发表于 2018-5-31 15:15:44 | 显示全部楼层
好文章,但是水平有限,还在学习
回复 支持 反对

使用道具 举报

0

主题

7

帖子

54

积分

伏地听声

Rank: 2Rank: 2

积分
54
发表于 2018-6-7 13:40:07 | 显示全部楼层
本帖最后由 japanboys1 于 2018-6-8 17:49 编辑

楼主好,承认我知识结构有限,但知道,这是我需要达到的目的,就是WAN1 上网,WAN2 VPN 梯子,能否付费帮我技术支持一下,代码这种我实在不懂,我的配置是,UCK+USG+24POE 500W +UAP,先谢谢了,价格你开就好,只要弄好就行。谢谢了
回复 支持 反对

使用道具 举报

19

主题

244

帖子

1374

积分

有线传输

Rank: 5

积分
1374
 楼主| 发表于 2018-6-7 18:07:55 来自手机 | 显示全部楼层
japanboys1 发表于 2018-6-7 13:40
楼主好,承认我知识结构有限,但知道,这是我需要达到的目的,就是WAN1 上网,WAN2 VPN 梯子,能否付费帮我 ...

哈哈哈,这活不接。教人翻墙赚钱,这活高风险,低收益,楼主每月的收入够花了,不赚这钱。声明一下,任何加你qq的人都是冒充。
回复 支持 反对

使用道具 举报

43

主题

503

帖子

1976

积分

有线传输

Rank: 5

积分
1976
发表于 2018-6-7 21:05:40 | 显示全部楼层
benjaminlei 发表于 2018-6-7 18:07
哈哈哈,这活不接。教人翻墙赚钱,这活高风险,低收益,楼主每月的收入够花了,不赚这钱。声明一下,任何 ...

回复 支持 反对

使用道具 举报

0

主题

7

帖子

54

积分

伏地听声

Rank: 2Rank: 2

积分
54
发表于 2018-6-8 17:51:26 | 显示全部楼层
本帖最后由 japanboys1 于 2018-6-8 17:53 编辑
benjaminlei 发表于 2018-6-7 18:07
哈哈哈,这活不接。教人翻墙赚钱,这活高风险,低收益,楼主每月的收入够花了,不赚这钱。声明一下,任何 ...


看我设备就知道应该不会比楼主你差钱吧,Q号已删除,BTW这个论坛很少人气的,没人冒充楼主来加我呀,方案我换V2RAY+XXXX 还省了你的X86,谢谢了!
回复 支持 反对

使用道具 举报

14

主题

88

帖子

674

积分

飞鸽传书

Rank: 4Rank: 4Rank: 4Rank: 4

积分
674
发表于 2018-6-19 23:40:01 来自手机 | 显示全部楼层
本帖最后由 bluehj 于 2018-6-19 23:51 编辑

楼主的双wan+x86是一套非常完美的ss分流方案,解决了高加密模式下ss效率提升的痛点。引入了x86系统也使整个网络功能的扩展性有了无限的可能,这个x86也不一定是楼主这里用的实体机,如果网络里有nas的话,虚拟机也可以胜任。
回复 支持 反对

使用道具 举报

7

主题

100

帖子

693

积分

飞鸽传书

Rank: 4Rank: 4Rank: 4Rank: 4

积分
693
发表于 2018-7-15 18:16:08 | 显示全部楼层
Ubuntu server用什么
X86设备安装
回复 支持 反对

使用道具 举报

0

主题

20

帖子

196

积分

烽火狼烟

Rank: 3Rank: 3Rank: 3

积分
196
发表于 2018-7-28 11:34:08 | 显示全部楼层
benjaminlei 发表于 2018-2-27 17:51
这说得不严谨,意思就是x86不通usg连入internet,至于连入方式pppoe和dhcp等等都可以,但强烈建议使用同 ...

现在我的情况就涉及到双线路再配合你这个软路由来处理翻墙性能的问题。原来双线路做了策略路由,现在再接和你的方案好复杂。
回复 支持 反对

使用道具 举报

0

主题

5

帖子

89

积分

伏地听声

Rank: 2Rank: 2

积分
89
发表于 2018-11-28 02:09:43 | 显示全部楼层
你好,我家由于客观原因,弱电箱放不下那么多设备。根据V2RAY的建议,设置了如下结构图:

简单来说就是有一台X86的虚机作为所有网段终端的网关,所有的流量分发都由v2ray来做。问题就是现在不知道怎么配置了。。。

拓扑图

拓扑图
回复 支持 反对

使用道具 举报

0

主题

3

帖子

46

积分

口耳相传

Rank: 1

积分
46
发表于 2019-3-8 10:54:26 | 显示全部楼层
大神帮忙看看我这个设置和JSON写的有问题吗?
我的网络环境就是按照大神的接法,IP设置如下:

USG LAN     IP   192.168.1.1
       WAN1  上联联通光猫获取公网IP
       WAN2 IP 192.168.2.254,网关设置为 192.168.2.1

X86软路由的 Eth0 IP  192.168.2.1,上联 USG WAN2端口

X86软路由的 Eth1 IP 192.168.1.254,网关设置为192.168.1.1, 和USG的LAN共同接入 US-8-60W POE交换机。

220和230都是从USG controller 的Web上copy的group ID。

这个JSON放置在了 UCK 控制器的目录: /srv/unifi/data/sites/default/
另外那个cnroute也在USG里面执行了。

可是现在国内网站正常,国外的某些网站就是打不开,可是打开X86路由看里面的插件国内外工作都是正常状态,不知道该检查哪儿了。求指导
  1. {
  2.   "load-balance": "''",
  3.   "firewall": {
  4.     "group": {
  5.       "network-group": {
  6.         "chnroute": "''"
  7.       }
  8.     },
  9.     "modify": {
  10.       "LOAD_BALANCE": "''",
  11.       "POLICY_BASED_ROUTING": {
  12.         "rule": {
  13.           "110": {
  14.             "action": "accept",
  15.             "destination": {
  16.               "group": {
  17.                 "network-group": "corporate_network"
  18.               }
  19.             }
  20.           },
  21.           "120": {
  22.             "action": "accept",
  23.             "destination": {
  24.               "group": {
  25.                 "network-group": "remote_user_vpn_network"
  26.               }
  27.             }
  28.           },
  29.           "130": {
  30.             "action": "accept",
  31.             "destination": {
  32.               "group": {
  33.                 "network-group": "remote_site_vpn_network"
  34.               }
  35.             }
  36.           },
  37.           "140": {
  38.             "action": "accept",
  39.             "destination": {
  40.               "group": {
  41.                 "network-group": "remote_client_vpn_network"
  42.               }
  43.             }
  44.           },
  45.           "150": {
  46.             "action": "accept",
  47.             "destination": {
  48.               "group": {
  49.                 "network-group": "guest_network"
  50.               }
  51.             }
  52.           },
  53.           "160": {
  54.             "action": "accept",
  55.             "destination": {
  56.               "group": {
  57.                 "address-group": "guest_portal_address",
  58.                 "port-group": "guest_portal_ports"
  59.               }
  60.             },
  61.             "source": {
  62.               "group": {
  63.                 "network-group": "guest_network"
  64.               }
  65.             }
  66.           },
  67.           "170": {
  68.             "action": "accept",
  69.             "destination": {
  70.               "group": {
  71.                 "network-group": "captive_portal_subnets"
  72.               },
  73.               "port": "443"
  74.             },
  75.             "protocol": "tcp",
  76.             "source": {
  77.               "group": {
  78.                 "network-group": "guest_network"
  79.               }
  80.             }
  81.           },
  82.           "180": {
  83.             "action": "accept",
  84.             "destination": {
  85.               "group": {
  86.                 "address-group": "guest_allow_addresses"
  87.               }
  88.             },
  89.             "source": {
  90.               "group": {
  91.                 "network-group": "guest_network"
  92.               }
  93.             }
  94.           },
  95.           "190": {
  96.             "action": "accept",
  97.             "destination": {
  98.               "address": "127.0.0.0/8"
  99.             }
  100.           },
  101.           "200": {
  102.             "action": "accept",
  103.             "destination": {
  104.               "address": "224.0.0.0/4"
  105.             }
  106.           },
  107.           "210": {
  108.             "action": "accept",
  109.             "source": {
  110.               "address": "192.168.1.254/32"
  111.             }
  112.           },
  113.           "220": {
  114.             "action": "accept",
  115.             "source": {
  116.               "group": {
  117.                 "address-group": "5c814ae34193a36f21f5edaf"
  118.               }
  119.             }
  120.           },
  121.           "230": {
  122.             "action": "accept",
  123.             "source": {
  124.               "group": {
  125.                 "port-group": "5c814aec4193a36f21f5edb0"
  126.               }
  127.             }
  128.           },
  129.           "1010": {
  130.             "action": "accept",
  131.             "protocol": "tcp",
  132.             "source": {
  133.               "port": "5000",
  134.               "group": {
  135.                 "network-group": "corporate_network"
  136.               }
  137.             }
  138.           },
  139.           "1020": {
  140.             "action": "accept",
  141.             "protocol": "tcp",
  142.             "source": {
  143.               "port": "5001",
  144.               "group": {
  145.                 "network-group": "corporate_network"
  146.               }
  147.             }
  148.           },
  149.           "1030": {
  150.             "action": "accept",
  151.             "protocol": "tcp",
  152.             "source": {
  153.               "port": "6690",
  154.               "group": {
  155.                 "network-group": "corporate_network"
  156.               }
  157.             }
  158.           },
  159.           "1040": {
  160.             "action": "accept",
  161.             "protocol": "tcp",
  162.             "source": {
  163.               "port": "8443",
  164.               "group": {
  165.                 "network-group": "corporate_network"
  166.               }
  167.             }
  168.           },
  169.           "1050": {
  170.             "action": "accept",
  171.             "protocol": "tcp",
  172.             "source": {
  173.               "port": "443",
  174.               "group": {
  175.                 "network-group": "corporate_network"
  176.               }
  177.             }
  178.           },
  179.           "1060": {
  180.             "action": "accept",
  181.             "protocol": "tcp",
  182.             "source": {
  183.               "port": "3389",
  184.               "group": {
  185.                 "network-group": "corporate_network"
  186.               }
  187.             }
  188.           },
  189.           "2030": {
  190.             "action": "accept",
  191.             "destination": {
  192.               "group": {
  193.                 "network-group": "chnroute"
  194.               }
  195.             }
  196.           },
  197.           "2040": {
  198.             "action": "modify",
  199.             "protocol": "tcp",
  200.             "modify": {
  201.               "table": "200"
  202.             }
  203.           }
  204.         }
  205.       }
  206.     }
  207.   },
  208.   "interfaces": {
  209.     "ethernet": {
  210.       "eth1": {
  211.         "firewall": {
  212.           "in": {
  213.             "modify": "POLICY_BASED_ROUTING"
  214.           }
  215.         }
  216.       }
  217.     }
  218.   },
  219.   "protocols": {
  220.     "static": {
  221.       "table": {
  222.         "200": {
  223.           "route": {
  224.             "0.0.0.0/0": {
  225.               "next-hop": {               
  226.                 "192.168.2.1": "''"
  227.               }
  228.             }
  229.           },
  230.           "interface-route": {
  231.             "192.168.1.0/24": {
  232.               "next-hop-interface": {               
  233.                 "eth1": "''"
  234.               }
  235.             },
  236.             "192.168.2.0/24": {
  237.               "next-hop-interface": {               
  238.                 "eth2": "''"
  239.               }
  240.             }
  241.           }
  242.         }
  243.       }
  244.     }
  245.   }
  246. }
复制代码



回复 支持 反对

使用道具 举报

0

主题

3

帖子

46

积分

口耳相传

Rank: 1

积分
46
发表于 2019-3-15 13:09:26 | 显示全部楼层
您好,我按照您这个帖子设置了USG和X86软路由的策略路由,网络拓扑跟您举的例子是一样的,X86上LEDE开启了SS,实际使用的时候还是没有能打开相关的国外网站。想问一下除了帖子里面的操作外,还需要在USG里面设置相应的静态路由才可以吗?能否给个实例参考?多谢!
回复 支持 反对

使用道具 举报

43

主题

503

帖子

1976

积分

有线传输

Rank: 5

积分
1976
发表于 2019-3-15 15:36:07 | 显示全部楼层
sonnycool 发表于 2019-3-15 13:09
您好,我按照您这个帖子设置了USG和X86软路由的策略路由,网络拓扑跟您举的例子是一样的,X86上LEDE开启了S ...

我理解这个代码只是指定了哪些IP、端口走WAN2,和你的问题部分网站不能访问没关系吧。
DNS问题排查了吗。
回复 支持 反对

使用道具 举报

0

主题

5

帖子

112

积分

烽火狼烟

Rank: 3Rank: 3Rank: 3

积分
112
发表于 2019-3-27 17:43:51 | 显示全部楼层
请教一下,230这个端口组规则是否可以用来代替端口转发的那些规则,就是1010-1060那些?感觉作用是一样的,好处是可以直接在web界面上管理了
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

优倍快网络技术咨询(上海)有限公司 沪ICP备13034452

© ubnt.com.cn All Rights Reserved.本站发布的所有内容,未经许可,不得转载.

快速回复 返回顶部 返回列表