Hướng dẫn cách cấu hình port Forwarding trên Router USG/UDM

Với UniFi Network bạn có thể cấu hình để chuyển tiếp các gói tin port UDP / TCP đến thiết bị trong mạng LAN qua tính năng Port Forwarding trên thiết bị Dream Machine (UDM hoặc UDM-Pro) và USG. Trong bài viết sau đây, mình sẽ hướng dẫn cách cấu hình port Forwarding trên Router USG/UDM

Chuẩn bị:

  • Áp dụng cho firmware mới nhất trên UDM và USG
  • Tính năng Port Forwarding được thiết kế chỉ hoạt động trên WAN1 với USG nhưng có thể hoạt động với cả WAN1 và WAN2 trên UDM-Pro.
  • Để mở Port Forwarding WAN2 trên USG thì ta phải tiến hành cấu hình thủ công Destination NAT và rule Firewall.

Cách cấu hình Port Forwarding

  1. Login vào controller click: Settings > Advanced Features > Advanced Gateway Settings and create new port forwarding
  2. Điền vào các thông tin cài đặt:

Name: webserver

Enable Forward Rule: turn this on when ready to activate this rule

Interface: WAN / WAN2 / Both (UDM Pro only)

From: Anywhere or Limited

Port: 443

Forward IP: 192.168.1.10

Forward Port: 443

Protocol: TCP

Logging: Optional

From: Mặc định khi không sử dụng trường này thì rule sẽ cho pháp tất cả các IP có thể kết nối và truy cập vào. Nếu muốn gán chỉ cho phép 1 hoặc vài IP thì ta nhập thông số vào.
Port: Port mà máy client bên ngoài internet sẽ kết nối vào, port này không nhất thiết phải trùng với port trong mạng LAN, vd TCP 443
Forward IP: Địa chỉ IP của thiết bị trong LAN cần mở port, vd 192.168.1.10.
Forward Port: Port của dịch vụ cần mở trong LAN , vd TCP port 443.

Hướng dẫn cách cấu hình port Forwarding trên Router USG/UDM

  1. Chọn Apply Changes.
  2. Các quy tắc tường lửa cần thiết cho quy tắc Chuyển tiếp cổng mới mà bạn đã tạo sẽ tự động được thêm vào.
  3. Bạn có thể kiểm tra lại các rule đó trong : Settings > Security > Internet Threat Management > Firewall> Internet

 

Hướng dẫn cách cấu hình port Forwarding trên Router USG/UDM

Cấu hình Port Forwarding trên WAN2 dùng Destination NAT (áp dùng cho USG/USG Pro)

CHÚ Ý: Đây là cấu hình nâng cao yêu cầu tạo và sửa đổi tệp config.gateway.json. Xem bài viết để biết thêm thông tin về cách sử dụng tệp JSON tại đây.

Làm theo các bước bên dưới để chuyển tiếp các cổng trên giao diện WAN2 trên USG. Cần tạo thủ công quy tắc Destination NAT (DNAT) sử dụng bằng lệnh (CLI) và tạo các rule trong firewall thủ công. Sau đó, tệp config.gateway.json phải được cập nhập vào trong thiết bị chạy Controller UniFi.

  1. Tạo rule firewall : Settings > Security > Internet Threat Management > Firewall> Internet.
  2. Tạo Group port trong firewall : click chọn Create New Group
  3. Điền các thông tin port cần cho phép trong firewall (vd là 443)

Hướng dẫn cách cấu hình port Forwarding trên Router USG/UDM

Name : https

Type : port group

Port : 443

Hướng dẫn cách cấu hình port Forwarding trên Router USG/UDM

  1. Truy cập vào : Settings > Security > Internet Threat Management > Firewall> Internet and create new rule.
  2. Điền các thông tin và chọn Port Group đã tạo ở trên
  • General

+ Type: Internet In

+ Description: webserver

+ Enabled: turned on when ready to take this rule live

+ Rule Applied: After (after predefined rules)

+ Action: Accept

+ IPv4 Protocol: TCP

+ Match all protocols except for this: disabled

  • Source: Optional
  • Destination

+ Destination Type: Address/Port Group

+ IPv4 Address Group: Any

+ Port Group: https (select from any previously created firewall port groups)

  • Advanced: Optional

Hướng dẫn cách cấu hình port Forwarding trên Router USG/UDM

  1. Bước tiếp theo truy cập vào USG sử dụng lệnh ( CLI) để cấu hình Destination NAT. Cần phải mở tính năng SSH trong Controller UniFi : Settings > System Settings > Controller Configuration > Device SSH Authentication.
  2. Sử dụng phần mềm Putty để SSH vào thiết bị USG ( user/pass thể hiện ở mục Device SSH Authentication )
  3. Kiểm tra lại port WAN2 trạng thái UP và IP đang sử dụng, với lệnh sau :

show interfaces ; sudo ipset list ADDRv4_eth2

unifiadmin@usg:~$ show interfaces

Codes: S – State, L – Link, u – Up, D – Down, A – Admin Down

Interface    IP Address                        S/L  Description

———    ———-                        —  ———–

eth0         203.0.113.1/24                    u/u  WAN

eth1         192.168.1.1/24                    u/u  LAN

eth2         192.0.2.1/24                      u/u  WAN2

lo           127.0.0.1/8                       u/u

::1/128

 

unifiadmin@usg:~$ sudo ipset list ADDRv4_eth2

Name: ADDRv4_eth2

Type: hash:net

Revision: 3

Header: family inet hashsize 1024 maxelem 65536

Size in memory: 16792

References: 1

Members:

192.0.2.1

 

Lưu ý : IP trên ADDRv4_eth2  là IP của WAN2 được map với inteface eth2 trên USG. Trên USG-Pro thì WAN2 là interface eth3 định dạng ADDRv4_eth3

  1. Nhập lệnh để vào mode cấu hình configure
  2. Tiến hành thêm các rule Destination NAT vào :

set service nat rule 4001 description ‘webserver’
set service nat rule 4001 destination group address-group ADDRv4_eth2
set service nat rule 4001 destination port 443
set service nat rule 4001 inbound-interface eth2
set service nat rule 4001 inside-address address 192.168.1.10
set service nat rule 4001 inside-address port 443
set service nat rule 4001 protocol tcp
set service nat rule 4001 type destination

 

  1. Nhập lệnh để áp dụng và chạy rule : commit ; exit

 

  1. Sử dụng lệnh mca-ctrl -t dump-cfg để hiện file cấu hình USG theo định dạng file JSON

mca-ctrl -t dump-cfg

 

  1. Các rule NAT được thể hiện theo định dang file JSON như sau :

{       “service”: {              “nat”: {                      “rule”: {                                “4001”: {                                        “description”: “webserver”,                                        “destination”: {                                                “group”: {                                                     “address-group”: “ADDRv4_eth2”                                                },                                                “port”: “443”                                        },                                        “inbound-interface”: “eth2”,                                        “inside-address”: {                                                “address”: “192.168.1.10”,                                                “port”: “443”                                        },                                        “protocol”: “tcp”,                                        “type”: “destination”                                }                        }                }       }}

 

  1. Thực hiện theo link sau để tiến hành tạo file JSON : https://help.ui.com/hc/en-us/articles/215458888 . Sau đó copy và paste vào vị trí chứa file JSON trong Controller UniFi

Các lỗi thường gặp khi cấu hình Port Forwarding

Tham khảo các bước khắc phục sự cố bên dưới nếu Port Forwarding hoặc Destination NAT không hoạt động. Một trong các tùy chọn sau có thể là nguyên nhân:

Trường hợp 1: IP WAN của USG hay UDM nhận được là IP NAT không phải IP Public

Địa chỉ IP mà WAN nhận được không phải là lớp Public, và các dãi IP sẽ có như bên dưới:

  • 10.0.0.0/8 10.0.0.0 – 10.255.255.255
  • 172.16.0.0/12 172.16.0.0 – 172.31.255.255
  • 192.168.x.0/24 192.168.0.0 – 192.168.255.255
  • 100.64.0.0/10 100.64.0.0 – 100.127.255.255

Để xử lý : liên hệ với nhà mạng ISP đổi lại IP WAN thành Public. Hoặc sử dụng DMZ cho IP WAN của USG

Trường hợp 2: Port bị trùng với các dịch vụ khác: Tiến hành cấu hình cho Port bên ngoài internet truy cập qua port khác.

VD: trong mạng LAN có 2 thiết bị đều sử dụng port 443 thì ta có thể tạo rule như sau: thiết bị 1: TCP 443-443 ; thiết bị 2 : 10443 -> 443 (khi bên ngoại client truy cập theo port 10443 sẽ đến thiết bị 2).

Các câu hỏi thường gặp 

  • Có cần phải tạo rule allow trong firewall khi dùng port forwarding?

Các rule allow sẽ tự động được tạo khi bạn cấu hình port forwarding

  • Tính năng port forwarding có độ ưu tiên thế nào khi dùng với UpnP ?

Các mục nhập tự động do UPnP tạo sẽ được ưu tiên hơn các quy tắc port forwarding .

  • Có cần phải cấu hình Hairpin NAT thủ công ?

Hairpin NAT tự động được bật khi định cấu hình tính năng port forwarding.

  • Có thể giới hạn thiết bị truy cập vào khi mở port forwarding

Khi sử dụng tùy chọn Form trong khi cài đặt để tạo chính sách vào port . Mặc định sẽ cho phép tất cả

Lời kết

FPT hy vọng bài viết sẽ bổ ích đối với những ai chưa biết sử dụng cách cấu hình port Forwarding cũng như các anh chị có ý định sử dụng thiết bị trong tương lai. Mọi nhu cầu mua thiết bị hay gặp phải vấn đề cấu hình thiết bị, mọi người có thể liên hệ tư vấn qua.

Fanpage: FPT – Thiết Bị Mạng

Hotline: 0933 769 199