Với UniFi Network, bạn có thể cấu hình để chuyển tiếp các gói tin port UDP/TCP đến thiết bị trong mạng LAN qua tính năng Port Forwarding trên thiết bị UniFi Dream Machine (UDM và UDM-Pro) và UniFi Security Gateway (USG). Trong bài viết hôm nay, mình sẽ hướng dẫn các bạn chi tiết cách cấu hình Port Forwarding trên USG/UDM. Cùng tham khảo và thực hành nhé!
Lưu ý trước khi tiến hành cấu hình Port Forwarding trên USG/UDM:
- Áp dụng cho firmware mới nhất trên UDM và USG
- Tính năng Port Forwarding được thiết kế chỉ hoạt động trên WAN1 với USG nhưng có thể hoạt động với cả WAN1 và WAN2 trên UDM-Pro
- Để mở Port Forwarding WAN2 trên USG thì ta phải tiến hành cấu hình thủ công Destination NAT và rule Firewall
Các câu hỏi thường gặp khi cấu hình Port Forwarding
Dưới đây là giải đáp cho một vài câu hỏi thường gặp khi cấu hình Port Forwarding
- Có cần phải tạo rule allow trong firewall khi dùng port forwarding? –> Các rule allow sẽ tự động được tạo khi bạn cấu hình port forwarding
- Tính năng port forwarding có độ ưu tiên thế nào khi dùng với UpnP? –> Các mục nhập tự động do UPnP tạo sẽ được ưu tiên hơn các quy tắc port forwarding .
- Có cần phải cấu hình Hairpin NAT thủ công? –> Hairpin NAT tự động được bật khi định cấu hình tính năng port forwarding.
- Có thể giới hạn thiết bị truy cập vào khi mở port forwarding? –> Khi sử dụng tùy chọn Form trong khi cài đặt để tạo chính sách vào port . Mặc định sẽ cho phép tất cả
Các bước cấu hình Port Forwarding
Để cấu hình Port Forwarding, chúng ta cần trải qua 5 bước như sau:
1. Login vào controller:
Click chọn: Settings > Advanced Features > Advanced Gateway Settings and create new port forwarding
2. Điền vào các thông tin cài đặt :
- Name: webserver
- Enable Forward Rule: turn this on when ready to activate this rule
- Interface: WAN / WAN2 / Both (UDM Pro only)
- From: Anywhere or Limited
- Port: 443
- Forward IP: 168.1.10
- Forward Port: 443
- Protocol: TCP
- Logging: Optional
3. Chọn Apply Changes
4. Các quy tắc tường lửa cần thiết cho quy tắc Chuyển tiếp cổng mới mà bạn đã tạo sẽ tự động được thêm vào.
5. Kiểm tra lại các rule: Click: Settings > Security > Internet Threat Management > Firewall > Internet
Cấu hình Port Forwarding trên WAN2 dùng Destination NAT dùng cho USG/USG Pro
CHÚ Ý: Đây là cấu hình nâng cao yêu cầu tạo và sửa đổi tệp config.gateway.json. Do đó, hãy tham khảo thêm bài viết TẠI ĐÂY để biết thêm thông tin về cách sử dụng tệp JSON.
Bạn có thể làm theo các bước bên dưới để chuyển tiếp các cổng trên giao diện WAN2 trên USG. Trước hết, ta cần tạo thủ công quy tắc Destination NAT (DNAT) sử dụng bằng lệnh (CLI) và tạo các rule trong firewall thủ công. Sau đó, tệp config.gateway.json phải được cập nhập vào trong thiết bị chạy Controller UniFi.
- Tạo rule firewall : Settings > Security > Internet Threat Management > Firewall> Internet.
- Tạo Group port trong firewall : click chọn Create New Group
- Điền các thông tin port cần cho phép trong firewall ( vd là 443 )
+ Name : https
+ Type : port group
+ Port : 443
4. Truy cập vào : Settings > Security > Internet Threat Management > Firewall> Internet and create new rule.
5. Điền các thông tin và chọn Port Group đã tạo ở trên
- General
+ Type: Internet In
+ Description: webserver
+ Enabled: turned on when ready to take this rule live
+ Rule Applied: After (after predefined rules)
+ Action: Accept
+ IPv4 Protocol: TCP
+ Match all protocols except for this: disabled
- Source: Optional
- Destination
+ Destination Type: Address/Port Group
+ IPv4 Address Group: Any
+ Port Group: https (select from any previously created firewall port groups)
- Advanced: Optional
6. Bước tiếp theo, hãy truy cập vào USG sử dụng lệnh ( CLI) để cấu hình Destination NAT. Lúc này, bạn cần phải mở tính năng SSH trong Controller UniFi theo thao tác sau: Settings > System Settings > Controller Configuration > Device SSH Authentication.
7. Sử dụng phần mềm Putty để SSH vào thiết bị USG ( user/pass thể hiện ở mục Device SSH Authentication )
8.Tiếp đến là kiểm tra lại port WAN2 trạng thái UP và IP đang sử dụng, với lệnh sau:
Lưu ý : IP trên ADDRv4_eth2 là IP của WAN2 được map với inteface eth2 trên USG. Trên USG-Pro thì WAN2 là interface eth3 định dạng ADDRv4_eth3
9. Nhập lệnh để vào mode cấu hình configure
10. Tiến hành thêm các rule Destination NAT vào:
set service nat rule 4001 description ‘webserver’
set service nat rule 4001 destination group address-group ADDRv4_eth2
set service nat rule 4001 destination port 443
set service nat rule 4001 inbound-interface eth2
set service nat rule 4001 inside-address address 192.168.1.10
set service nat rule 4001 inside-address port 443
set service nat rule 4001 protocol tcp
set service nat rule 4001 type destination
11. Nhập lệnh để áp dụng và chạy rule :
commit ; exit
12. Sử dụng lệnh mca-ctrl -t dump-cfg để hiện file cấu hình USG theo định dạng file JSON
mca-ctrl -t dump-cfg
13. Các rule NAT được thể hiện theo định dang file JSON như sau:
14. Thực hiện theo link TẠI ĐÂY để tiến hành tạo file JSON. Sau đó copy và paste vào vị trí chứa file JSON trong Controller UniFi.
Vừa rồi là các bước để Cấu hình Port Forwarding trên WAN2 dùng Destination NAT dùng cho USG/USG Pro. Vì các bước thực hiện khá phức tạp nên hãy đọc kỹ thông tin và thao tác từng bước một, tin chắc bạn sẽ tự mình cấu hình thành công
Các lỗi thường gặp
Trong trường hợp Port Forwarding hoặc Destination NAT không hoạt động. Bạn có thể tham khảo các bước khắc phục sự cố bên dưới nếu. Bởi một trong các tùy chọn sau có thể là nguyên nhân gây các lỗi này:
– Trường hợp 1 : IP WAN của USG hay UDM nhận được là IP NAT không phải IP Public
Địa chỉ IP mà WAN nhận được không phải là lớp Public, và các dải IP sẽ có dạng như bên dưới:
- 10.0.0.0/8 10.0.0.0 – 10.255.255.255
- 172.16.0.0/12 172.16.0.0 – 172.31.255.255
- 192.168.x.0/24 192.168.0.0 – 192.168.255.255
- 100.64.0.0/10 100.64.0.0 – 100.127.255.255
Cách xử lý : liên hệ với nhà mạng ISP đổi lại IP WAN thành Public. Hoặc sử dụng DMZ cho IP WAN của USG
– Trường hợp 2 : Port bị trùng với các dịch vụ khác
Lúc này, bạn hãy tiến hành cấu hình cho Port bên ngoài internet truy cập qua port khác. Tham khảo ví dụ sau để hiểu rõ hơn nhé!
Trong mạng LAN có 2 thiết bị đều sử dụng port 443 thì ta có thể tạo rule như sau:
+ Thiết bị 1 : TCP 443-443
+ Thiết bị 2 : 10443 -> 443 (khi bên ngoại client truy cập theo port 10443 sẽ đến thiết bị 2)
Kết luận:
Bên trên là toàn bộ thao tác để cấu hình Port Forwarding trên USG/UDM. Mình hy vọng bài viết này có thể giúp ích các bạn trong việc cấu hình Port Forwarding trên thiết bị UniFi của mình. Trong trường hợp gặp phải vấn đề trong quá trình cấu hình, bạn có thể liên hệ tư vấn trực tiếp qua:
Hỗ trợ kỹ thuật: 028 7300 2222
Fanpage: FPT – Thiết Bị Mạng