Acabei de comprar um UniFi US-8 (switch PoE gerenciado de 8 portas) e estou tentando configurá-lo, mas não consigo fazer com que o controlador UniFi veja o dispositivo; o controlador apenas diz "Nenhum dispositivo encontrado".
Minha configuração de rede atual é:
Modem/roteador ISP ( 192.168.0.1/24) -> Fortigate 30E ( 192.168.1.1/24) -> Desktop ( 192.168.1.10/24)
O controlador UniFi está instalado na minha área de trabalho ( 192.168.1.10/24).
Se eu remover o Fortigate da equação:
- Reconfigurar meu modem/roteador ISP para estar na
192.168.1.0/24rede - Conecte o switch e meu desktop a uma porta LAN no modem/roteador
Posso então entrar em contato (ping/ssh) com o switch da minha área de trabalho ( 192.168.1.10/24), e o controlador em execução na minha área de trabalho vê o switch e pode "adotá-lo".
No entanto, se eu colocar o portão Fortigate de volta na equação:
- Modem/roteador ISP na
192.168.0.0/24rede - Fortigate 30E na
192.168.1.0/24rede (porta WAN conectada a uma porta LAN no roteador ISP) - Desktop e switch conectados às portas LAN no Fortigate
Minha área de trabalho não consegue mais ver o switch. Olhando para o inventário de dispositivos no Fortigate, parece que o switch recebe uma concessão de DHCP para 192.168.1.12/24, mas só posso chegar a esse endereço se conectar um laptop diretamente ao switch e configurar o laptop para estar na 192.168.1.0/24rede.
O Fortigate está fazendo algo para bloquear o tráfego para o switch? Em caso afirmativo, o que posso fazer para permitir que o tráfego flua?
Para referência, a saída do show system interfacecomando está abaixo:
FWF30E********** # show system interface
config system interface
edit "wan"
set vdom "root"
set ip 192.168.0.10 255.255.255.0
set allowaccess ping https http fgfm
set type physical
set scan-botnet-connections block
set role wan
set snmp-index 1
next
edit "modem"
set vdom "root"
set mode pppoe
set type physical
set snmp-index 2
next
edit "ssl.root"
set vdom "root"
set type tunnel
set alias "SSL VPN interface"
set snmp-index 3
next
edit "wifi"
set vdom "root"
set type vap-switch
set role lan
set snmp-index 5
next
edit "guestwifi"
set vdom "root"
set ip 192.168.11.1 255.255.255.0
set allowaccess ping https ssh http
set type vap-switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 7
next
edit "internal"
set vdom "root"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set broadcast-forward enable
set type switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 6
next
edit "lan"
set vdom "root"
set type hard-switch
set stp enable
set role lan
set snmp-index 4
next
end
Responder1
Então acho que resolvi o problema - abaixo estão minhas anotações:
Percebi que se eu reinicializar o firewall, pouco antes de terminar a inicialização, o switch começa a ser adotado. Assim que o firewall terminar a inicialização, o switch perderá a conexão. Também não consigo entrar em contato com nenhum outro dispositivo na minha sub-rede.
Se eu remover "lan" dos membros do switch de software "interno" padrão, o switch (ainda com o padrão 192.168.1.20/24) se conectará à minha área de trabalho (e posso me conectar a outros dispositivos na rede 192.168.1.0/24 ), mas perco a conectividade com a Internet. O firewall cria automaticamente uma nova interface de switch de hardware chamada "lan", composta por todas as 4 interfaces LAN físicas como interfaces membros.
Para me conectar novamente ao firewall a partir do meu desktop, tive que fazer login em 192.168.1.99 (o IP do firewall) com meu telefone (que está na rede wifi interna 192.168.1.0/24) e definir o novo gateway "lan" IP para 192.168.10.99/24 e, em seguida, configurei meu computador para estar na nova sub-rede (configurei-o para 192.168.10.10/24, com gateway 192.168.10.99). Mas agora, como minha área de trabalho está em uma sub-rede diferente, perco a conexão com o switch.
Na minha área de trabalho (192.168.10.10/24, gateway 192.168.10.99), criei uma nova regra de firewall em "política IPv4" para permitir todo o tráfego de "lan" para "wan". Isso me reconectou à Internet, mas, como esperado, não consigo fazer ping ou SSH no switch ou em qualquer outro host na rede 192.168.1.0/24. Confirmei isso configurando minha área de trabalho de volta para a rede 192.168.1.0/24 (gateway 192.168.1.99), o que mata minha internet, mas posso executar ping/SSH para outros hosts nessa sub-rede mais uma vez e o switch se reconecta.
Dado que sei que o padrão do switch é 192.168.1.20/24 se não obtiver uma concessão de DHCP, liguei o servidor DHCP para a interface "lan" e o switch finalmente recebeu um IP e se conectou à minha área de trabalho.
Agora o próximo problema era descobrir como permitir que dispositivos na interface “interna” (dispositivos wifi) se comunicassem com dispositivos na interface “lan” (dispositivos com fio). Para fazer isso configurei 2 políticas IPv4: permitir todo o tráfego de "lan" para "interno" e permitir todo o tráfego de "interno" para "lan".
Esta solução atinge o resultado desejado, mas não tenho certeza se é a maneira mais segura (ou a "melhor") de alcançá-lo.