Помощь с локальными контроллерами SD-WAN

Reply to Помощь с локальными контроллерами SD-WAN on Thu, 12 Feb 2026 14:31:15 GMT

Jeongjun Park — Thu, 12 Feb 2026 14:31:15 GMT

Здравствуйте. Пожалуйста, проверьте следующие моменты 1. Контроллеры не должны иметь публичные IP-адреса. Им нужны только частные IP-адреса. 2. Убедитесь, что соединение между контроллерами работает правильно. 3. FW выполняет NAT. (Особенно 1:1 NAT) 4. Публичный IP-адрес vBond пограничных точек (вероятно, публичный IP-адрес NAT). Если проблема остается, пожалуйста, поделитесь подробностями LAB. ![JeongjunPark_0-1768806601538.png] https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/BRKRST-2559.pdf Спасибо!

Reply to Помощь с локальными контроллерами SD-WAN on Thu, 12 Feb 2026 14:31:14 GMT

daawar-pandit — Thu, 12 Feb 2026 14:31:14 GMT

Привет
[, @Cristian Matei.]
Да, у меня есть.

Reply to Помощь с локальными контроллерами SD-WAN on Thu, 12 Feb 2026 14:31:13 GMT

Cristian Matei — Thu, 12 Feb 2026 14:31:13 GMT

Привет, @daawar-pandit
On vBond
, в настройках системы вы настроили публичный IP-адрес с помощью команды
vbond x.x.x.x local
? Спасибо, Кристиан.

Reply to Помощь с локальными контроллерами SD-WAN on Thu, 12 Feb 2026 14:31:12 GMT

daawar-pandit — Thu, 12 Feb 2026 14:31:12 GMT

Привет, Кристиан,
спасибо за помощь. Я понимаю, что vManage и vSmart должны предоставлять свои публичные IP-адреса при установлении соединения. Вот моя текущая конфигурация NAT: ![daawarpandit_3-1768953700847.png] Исходящий NAT источника (SNAT):

Трафик, исходящий из vManage (частный), преобразуется в vManage (публичный).
Трафик, исходящий из vSmart (частный), преобразуется в vSmart (публичный)
.
Это соответствует вашим пунктам № 1 и № 2.
Входящий NAT назначения (DNAT):
Трафик, поступающий на
публичные IP-адреса
из WAN, перенаправляется на соответствующие
частные IP-адреса
(vBond, vSmart, vManage).
Внутренний Loopback/Hairpin NAT:
Я настроил специальные правила, чтобы при попытке
vManage/vSmart (внутренний)
связаться с
vBond (публичный IP)
, маршрутизатор преобразовывал назначение обратно в частный IP, одновременно выполняя NAT источника трафика на публичный IP (так что vBond видит соседний узел как публичный). Проблема:
когда я обновляю конфигурацию, чтобы использовать
публичный IP-
ад
рес
для vBond:
ICMP работает:
я могу успешно пинговать публичный IP-адрес vBond из vManage и vSmart (задержка <1 мс), подтверждая, что путь NAT Loopback действителен.
Управление не работает:
несмотря на успешный пинг, соединения управления не работают с ошибкой DCONFAIL.
Захват пакетов:
TCPDUMP на vBond показывает, что пакеты поступают, но возвращает ошибку
ICMP Port Unreachable
, что указывает на то, что приложение не принимает трафик, несмотря на правильную маршрутизацию.
Как только я возвращаюсь к частному IP-адресу, все работает и отображается зеленым цветом, поэтому проблема не в конфигурации контроллера, а в маршрутизации/NAT
.
Возможно, я что-то упускаю или делаю что-то не так в NAT. Пожалуйста, дайте мне знать
. Спасибо,
Давар.

Reply to Помощь с локальными контроллерами SD-WAN on Thu, 12 Feb 2026 14:31:11 GMT

Cristian Matei — Thu, 12 Feb 2026 14:31:11 GMT

Здравствуйте, Ваша сетевая инфраструктура должна выполнять следующие NAT 1. Когда vManage связывается с vSmart и vBond, частный IP-адрес vManage должен быть преобразован в его публичный IP-адрес. 2. Когда vSmart общается с vBond, частный IP-адрес vSmart должен быть преобразован в его публичный IP-адрес cEdge / vEdge необходимо настроить с использованием публичного IP-адреса vBond или FQDN для vBond, который должен быть преобразован в публичный IP-адрес vBond. Все остальное соответствует обычному развертыванию, убедитесь, что STUN включен на интерфейсе туннеля cEdge / vEdge. Спасибо, Кристиан.

Reply to Помощь с локальными контроллерами SD-WAN on Thu, 12 Feb 2026 14:31:10 GMT

N9Kway — Thu, 12 Feb 2026 14:31:10 GMT

Здравствуйте, Я уже сталкивался с подобной проблемой. Судя по вашему описанию, основная причина заключается в том, как vBond узнает «публичные» адреса vManage и vSmart через механизм STUN. В развертывании SD-WAN vBond действует как сервер STUN; он сообщает IP-адреса контроллеров пограничным устройствам на основе адресов, которые он видит, когда контроллеры подключаются к нему. Диагностические шаги:
Выполните следующую команду на вашем vSmart или vManage:
show sdwan control connections Для публичных цветов:
Peer Public IP
должна
отображать публичные NAT-адреса контроллеров.
Для частных цветов:
в
Peer Public IP
обычно отображает внутренний частный IP-адрес. Если в столбце
Peer Public IP
для соединений, которые должны быть «публичными», ваша конфигурация NAT не позволяет vBond видеть преобразованные адреса. Основная причина:
поскольку все контроллеры находятся в одной локальной подсети, когда vSmart пытается достичь публичного IP-адреса vBond, брандмауэр UniFi, вероятно, маршрутизирует трафик локально, не выполняя преобразование NAT (NAT источника/назначения). В результате vBond видит соединение, поступающее с частного IP-адреса, и регистрирует его как «публичный» адрес для этого контроллера. Рекомендуемые решения: NAT Hairpinning (NAT Reflection):
Вы должны включить NAT Hairpinning (или NAT Reflection) на вашем UniFi Gateway для всех правил NAT 1:1. Это гарантирует, что даже внутренний трафик, попадающий на публичный IP-адрес, будет полностью преобразован с помощью NAT. vBond должен «видеть» публичный IP-адрес vSmart как источник управляющего соединения.
Разделение зон безопасности (рекомендуемая практика):
Настоятельно рекомендуется разместить vBond в другой зоне безопасности (VLAN/DMZ), чем vSmart и vManage. Это заставляет весь трафик между контроллерами проходить через механизм политик брандмауэра, что делает поведение NAT более предсказуемым.
Прямое назначение публичного IP-адреса:
если возможно, назначение публичных IP-адресов непосредственно интерфейсам контроллера (если они подключены к Интернету) полностью устраняет сложности STUN. Надеюсь, это поможет вам подключить внешние vEdge!