UniFi US-8 (8 ポート管理型 PoE スイッチ) を購入し、セットアップしようとしているのですが、UniFi コントローラーでデバイスを認識できず、コントローラーには「デバイスが見つかりません」と表示されます。
現在のネットワーク設定は次のとおりです。
ISP モデム/ルーター ( 192.168.0.1/24) -> Fortigate 30E ( 192.168.1.1/24) -> デスクトップ ( 192.168.1.10/24)
UniFi コントローラーはデスクトップ ( 192.168.1.10/24) にインストールされています。
方程式から Fortigate ate を除外すると、次のようになります。
- ISPモデム/ルーターを
192.168.1.0/24ネットワークに接続できるように再設定する - スイッチとデスクトップをそれぞれモデム/ルーターのLANポートに接続します
その後、デスクトップ ( 192.168.1.10/24) からスイッチに接続 (ping/ssh) でき、デスクトップで実行されているコントローラがスイッチを認識し、それを「採用」できます。
しかし、Fortigate ゲートを方程式に戻すと、次のようになります。
192.168.0.0/24ネットワーク上の ISP モデム/ルーター- ネットワーク上の Fortigate 30E
192.168.1.0/24(ISP ルーターの LAN ポートに接続された WAN ポート) - FortigateのLANポートに接続されたデスクトップとスイッチ
デスクトップからスイッチが認識されなくなりました。Fortigate のデバイス インベントリを見ると、スイッチは の DHCP リースを取得しているようです192.168.1.12/24が、このアドレスにアクセスするには、ラップトップをスイッチに直接接続し、ラップトップをネットワークに接続するように構成する必要があります192.168.1.0/24。
Fortigate はスイッチへのトラフィックをブロックするために何かを行っていますか? もしそうなら、トラフィックを流すために何ができますか?
参考までに、コマンドの出力はshow system interface次のとおりです。
FWF30E********** # show system interface
config system interface
edit "wan"
set vdom "root"
set ip 192.168.0.10 255.255.255.0
set allowaccess ping https http fgfm
set type physical
set scan-botnet-connections block
set role wan
set snmp-index 1
next
edit "modem"
set vdom "root"
set mode pppoe
set type physical
set snmp-index 2
next
edit "ssl.root"
set vdom "root"
set type tunnel
set alias "SSL VPN interface"
set snmp-index 3
next
edit "wifi"
set vdom "root"
set type vap-switch
set role lan
set snmp-index 5
next
edit "guestwifi"
set vdom "root"
set ip 192.168.11.1 255.255.255.0
set allowaccess ping https ssh http
set type vap-switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 7
next
edit "internal"
set vdom "root"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set broadcast-forward enable
set type switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 6
next
edit "lan"
set vdom "root"
set type hard-switch
set stp enable
set role lan
set snmp-index 4
next
end
答え1
それで、問題は解決したと思います。以下は私のメモです。
ファイアウォールを再起動すると、起動が完了する直前にスイッチが適応を開始することに気付きました。ファイアウォールの起動が完了するとすぐに、スイッチの接続が失われます。サブネット上の他のデバイスにも接続できません。
デフォルトの「内部」ソフトウェア スイッチのメンバーから「lan」を削除すると、スイッチ (デフォルトは 192.168.1.20/24 のまま) はデスクトップに接続されます (192.168.1.0/24 ネットワーク上の他のデバイスに接続できます) が、インターネット接続は失われます。ファイアウォールは、メンバー インターフェイスとして 4 つの物理 LAN インターフェイスすべてで構成される「lan」という新しいハードウェア スイッチ インターフェイスを自動的に作成します。
デスクトップからファイアウォールに再度接続するには、電話 (192.168.1.0/24 内部 Wi-Fi ネットワーク上) で 192.168.1.99 (ファイアウォールの IP) にログインし、新しい「lan」ゲートウェイ IP を 192.168.10.99/24 に設定し、コンピューターを新しいサブネットに設定する必要がありました (192.168.10.10/24 に設定し、ゲートウェイを 192.168.10.99 に設定しました)。しかし、デスクトップが別のサブネット上にあるため、スイッチへの接続が失われます。
デスクトップ (192.168.10.10/24、ゲートウェイ 192.168.10.99) から、「IPv4 ポリシー」に新しいファイアウォール ルールを作成し、「lan」から「wan」へのすべてのトラフィックを許可しました。これでインターネットに再接続されましたが、予想どおり、スイッチや 192.168.1.0/24 ネットワーク上の他のホストに ping したり SSH したりすることはできません。デスクトップを 192.168.1.0/24 ネットワーク (ゲートウェイ 192.168.1.99) に戻してこれを確認したところ、インターネットは切断されましたが、そのサブネット内の他のホストにもう一度 ping/SSH することができ、スイッチは再接続されました。
スイッチが DHCP リースを取得しない場合、デフォルトで 192.168.1.20/24 に設定されることを知っていたので、「lan」インターフェイスの DHCP サーバーをオンにしたところ、最終的にスイッチに IP が割り当てられ、デスクトップに接続されました。
次の問題は、「内部」インターフェース (WiFi デバイス) 上のデバイスが「LAN」インターフェース (有線デバイス) 上のデバイスと通信できるようにする方法を見つけることでした。これを実現するために、2 つの IPv4 ポリシーを設定しました。「LAN」から「内部」へのすべてのトラフィックを許可し、「内部」から「LAN」へのすべてのトラフィックを許可します。
このソリューションは目的の結果を実現しますが、それが最も安全な方法 (または「最善」の方法) であるかどうかはわかりません。