我剛剛購買了 UniFi US-8(8 埠託管 PoE 交換器)並嘗試對其進行設置,但無法讓 UniFi 控制器看到該設備;控制器只是說「未找到設備」。
我目前的網路設定是:
ISP 數據機/路由器 ( 192.168.0.1/24) -> Fortigate 30E ( 192.168.1.1/24) -> 桌上型電腦 ( 192.168.1.10/24)
UniFi 控制器安裝在我的桌面上 ( 192.168.1.10/24)。
如果我從方程式中刪除 Fortigate:
- 重新設定我的 ISP 數據機/路由器以使其位於
192.168.1.0/24網路上 - 將交換器和我的桌面分別連接到數據機/路由器上的 LAN 連接埠
然後,我可以從我的桌面 ( ) 聯繫 (ping/ssh) 交換機192.168.1.10/24,並且在我的桌面上運行的控制器會看到該交換機,並且可以「採用」它。
然而,如果我將 Fortigate 門放回等式中:
192.168.0.0/24網路上的 ISP 數據機/路由器- 網路上的 Fortigate 30E
192.168.1.0/24(WAN 連接埠插入 ISP 路由器上的 LAN 連接埠) - 插入 Fortigate 上 LAN 連接埠的桌上型電腦和交換機
我的桌面再也看不到開關了。查看 Fortigate 中的裝置清單,看起來交換器確實獲得了 DHCP 租約192.168.1.12/24,但只有當我將筆記型電腦直接插入交換器並將筆記型電腦配置為在網路上時,我才能存取該位址192.168.1.0/24。
Fortigate 是否正在執行某些操作來阻止交換器的流量?如果是這樣,我該怎麼做才能讓流量暢通?
作為參考,該命令的輸出show system interface如下:
FWF30E********** # show system interface
config system interface
edit "wan"
set vdom "root"
set ip 192.168.0.10 255.255.255.0
set allowaccess ping https http fgfm
set type physical
set scan-botnet-connections block
set role wan
set snmp-index 1
next
edit "modem"
set vdom "root"
set mode pppoe
set type physical
set snmp-index 2
next
edit "ssl.root"
set vdom "root"
set type tunnel
set alias "SSL VPN interface"
set snmp-index 3
next
edit "wifi"
set vdom "root"
set type vap-switch
set role lan
set snmp-index 5
next
edit "guestwifi"
set vdom "root"
set ip 192.168.11.1 255.255.255.0
set allowaccess ping https ssh http
set type vap-switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 7
next
edit "internal"
set vdom "root"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set broadcast-forward enable
set type switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 6
next
edit "lan"
set vdom "root"
set type hard-switch
set stp enable
set role lan
set snmp-index 4
next
end
答案1
所以我想我解決了這個問題 - 以下是我的筆記:
我注意到,如果我重新啟動防火牆,在防火牆完成啟動之前不久,交換機就會開始採用。一旦防火牆完成啟動,交換器就會失去連線。我也無法聯繫子網路上的任何其他設備。
如果我從預設“內部”軟體交換器的成員中刪除“lan”,則該交換器(仍然預設為192.168.1.20/24)會連接到我的桌面(並且我可以連接到192.168.1.0/24 網路上的其他設備) ),但我失去了網路連線。防火牆會自動建立一個名為「lan」的新硬體交換器接口,由所有 4 個實體 LAN 介面作為成員介面組成。
要從桌面連接回防火牆,我必須使用手機(位於 192.168.1.0/24 內部 wifi 網路上)登入 192.168.1.99(防火牆的 IP),並設定新的「lan」網關IP 為192.168.10.99/24,然後將我的電腦設定為新子網路(我將其設定為192.168.10.10/24,網關為192.168.10.99)。但是,現在由於我的桌面位於不同的子網路上,我失去了與交換器的連線。
在我的桌面(192.168.10.10/24,網關 192.168.10.99)中,我在「IPv4 策略」中建立了一個新的防火牆規則,以允許從「lan」到「wan」的所有流量。這使我重新連接到互聯網,但正如預期的那樣,我無法 ping 它或透過 SSH 連接到交換器或 192.168.1.0/24 網路上的任何其他主機。我透過將桌面設定回192.168.1.0/24 網路(網關192.168.1.99)來確認這一點,這會終止我的互聯網,但我可以再次ping/SSH 到該子網路中的其他主機,並且交換器重新連接。
鑑於我知道如果交換器沒有獲得 DHCP 租約,它預設為 192.168.1.20/24,因此我打開了「lan」介面的 DHCP 伺服器,交換器最終分配了一個 IP,並連接到我的桌面。
現在下一個問題是找出如何使「內部」介面上的設備(wifi 設備)能夠與「lan」介面上的設備(有線設備)進行通訊。為此,我設定了 2 個 IPv4 策略:允許從「lan」到「internal」的所有流量,並允許從「internal」到「lan」的所有流量。
該解決方案達到了預期的結果,但我不確定這是實現它的最安全的方式(或“最佳”方式)。