방금 UniFi US-8(8포트 관리형 PoE 스위치)을 구입하여 설정하려고 하는데 UniFi 컨트롤러가 장치를 볼 수 없습니다. 컨트롤러에 "장치를 찾을 수 없습니다."라고만 표시됩니다.
현재 네트워크 설정은 다음과 같습니다.
ISP 모뎀/라우터 ( 192.168.0.1/24) -> Fortigate 30E ( 192.168.1.1/24) -> 데스크탑 ( 192.168.1.10/24)
UniFi 컨트롤러가 내 데스크탑( 192.168.1.10/24)에 설치되었습니다.
방정식에서 Fortigate를 제거하면 다음과 같습니다.
192.168.1.0/24ISP 모뎀/라우터가 네트워크 에 있도록 재구성- 스위치와 데스크탑을 각각 모뎀/라우터의 LAN 포트에 연결합니다.
그런 다음 내 데스크톱( )에서 스위치에 연결(ping/ssh)할 수 192.168.1.10/24있으며 내 데스크톱에서 실행 중인 컨트롤러는 스위치를 확인하고 이를 "적용"할 수 있습니다.
그러나 Fortigate 게이트를 방정식에 다시 넣으면 다음과 같습니다.
192.168.0.0/24네트워크 의 ISP 모뎀/라우터- 네트워크 의 Fortigate 30E
192.168.1.0/24(ISP 라우터의 LAN 포트에 연결된 WAN 포트) - Fortigate의 LAN 포트에 연결된 데스크탑 및 스위치
내 데스크탑에서 더 이상 스위치를 볼 수 없습니다. Fortigate의 장치 인벤토리를 보면 스위치가 에 대한 DHCP 임대를 받는 것처럼 보이지만 192.168.1.12/24랩톱을 스위치에 직접 연결하고 랩톱이 네트워크에 있도록 구성한 경우에만 이 주소에 접근할 수 있습니다 192.168.1.0/24.
Fortigate가 스위치로의 트래픽을 차단하기 위해 뭔가를 하고 있습니까? 그렇다면 트래픽 흐름을 허용하려면 어떻게 해야 합니까?
참고로 명령의 출력은 show system interface다음과 같습니다.
FWF30E********** # show system interface
config system interface
edit "wan"
set vdom "root"
set ip 192.168.0.10 255.255.255.0
set allowaccess ping https http fgfm
set type physical
set scan-botnet-connections block
set role wan
set snmp-index 1
next
edit "modem"
set vdom "root"
set mode pppoe
set type physical
set snmp-index 2
next
edit "ssl.root"
set vdom "root"
set type tunnel
set alias "SSL VPN interface"
set snmp-index 3
next
edit "wifi"
set vdom "root"
set type vap-switch
set role lan
set snmp-index 5
next
edit "guestwifi"
set vdom "root"
set ip 192.168.11.1 255.255.255.0
set allowaccess ping https ssh http
set type vap-switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 7
next
edit "internal"
set vdom "root"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set broadcast-forward enable
set type switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 6
next
edit "lan"
set vdom "root"
set type hard-switch
set stp enable
set role lan
set snmp-index 4
next
end
답변1
그래서 문제를 해결한 것 같습니다. 아래는 제 메모입니다.
방화벽을 재부팅하면 부팅이 완료되기 직전에 스위치가 채택되기 시작합니다. 방화벽 부팅이 완료되자마자 스위치 연결이 끊어집니다. 또한 내 서브넷의 다른 장치에도 연결할 수 없습니다.
기본 "내부" 소프트웨어 스위치의 구성원에서 "lan"을 제거하면 스위치(여전히 기본값은 192.168.1.20/24)가 내 데스크탑에 연결됩니다(그리고 192.168.1.0/24 네트워크의 다른 장치에 연결할 수 있습니다). ), 인터넷 연결이 끊어졌습니다. 방화벽은 구성원 인터페이스로 4개의 물리적 LAN 인터페이스 모두로 구성된 "lan"이라는 새 하드웨어 스위치 인터페이스를 자동으로 생성합니다.
데스크톱에서 방화벽에 다시 연결하려면 내 전화기(192.168.1.0/24 내부 Wi-Fi 네트워크에 있음)로 192.168.1.99(방화벽 IP)에 로그인하고 새로운 "lan" 게이트웨이를 설정해야 했습니다. IP를 192.168.10.99/24로 설정한 다음 내 컴퓨터를 새 서브넷에 설정합니다(저는 192.168.10.10/24, 게이트웨이는 192.168.10.99로 설정했습니다). 하지만 이제 내 데스크탑이 다른 서브넷에 있기 때문에 스위치와의 연결이 끊어집니다.
내 데스크톱(192.168.10.10/24, 게이트웨이 192.168.10.99)에서 "IPv4 정책"에 새 방화벽 규칙을 만들어 "lan"에서 "wan"으로의 모든 트래픽을 허용했습니다. 이로 인해 인터넷에 다시 연결되었지만 예상대로 스위치나 192.168.1.0/24 네트워크의 다른 호스트에 대해 ping이나 SSH를 실행할 수 없습니다. 데스크탑을 192.168.1.0/24 네트워크(게이트웨이 192.168.1.99)로 다시 설정하여 이를 확인했는데, 이로 인해 인터넷이 종료되었지만 해당 서브넷의 다른 호스트에 다시 한 번 ping/SSH를 보낼 수 있고 스위치가 다시 연결됩니다.
DHCP 임대가 이루어지지 않으면 스위치 기본값이 192.168.1.20/24라는 것을 알고 있으므로 "lan" 인터페이스에 대해 DHCP 서버를 켰고 스위치에 마침내 IP가 할당되어 데스크탑에 연결되었습니다.
이제 다음 문제는 "내부" 인터페이스(Wi-Fi 장치)의 장치를 활성화하여 "lan" 인터페이스(유선 장치)의 장치와 통신하는 방법을 찾는 것이었습니다. 이를 위해 저는 2개의 IPv4 정책을 설정했습니다. "lan"에서 "internal"로의 모든 트래픽을 허용하고, "internal"에서 "lan"으로의 모든 트래픽을 허용합니다.
이 솔루션은 원하는 결과를 달성하지만 이를 달성하는 가장 안전한 방법(또는 "최상의" 방법)은 확실하지 않습니다.