Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Проблема с каскадом ER-X (снова), wifiman
 
#1
31.01.2025 22:17:00
Я возвращаюсь к этому посту, чтобы узнать, может кто-нибудь помочь. Я добавил конфигурации для обоих устройств ER-X, как и предлагалось. https://community.ui.com/questions/Cascading-ER-X-issue/687f9423-2e8d-4e81-885c-ee47aa37f5eb. Спасибо за любую помощь.
 
 
 
#2
04.02.2025 02:55:00
Самый эффективный способ — отбрасывать трафик на входящем соединении к интерфейсу ERX-2 switch0. Из CLI на ERX-2:
set firewall name LAN_IN default-action accept
set firewall name LAN_IN rule 10 action accept
set firewall name LAN_IN rule 10 state established enable
set firewall name LAN_IN rule 10 state related enable
set firewall name LAN_IN rule 20 action drop
set firewall name LAN_IN rule 20 state invalid enable
set firewall name LAN_IN rule 30 action accept
set firewall name LAN_IN rule 30 description 'Allowed'
set firewall name LAN_IN rule 30 destination address 192.168.1.150
set firewall name LAN_IN rule 40 state new enable
set firewall name LAN_IN rule 40 action drop
set firewall name LAN_IN rule 40 destination address 192.168.1.0/24
set firewall name LAN_IN rule 40 state new enable
commit;
set interfaces switch switch0 firewall in name LAN_IN
commit;save;
sudo conntrack -F
exit

ClientX 10.0.0.x хочет поговорить с ClientY (192.168.1.150)? Соответствует правилу LAN_IN 30, принимаем, маршрутизируем через ERX-2 eth0 с маскированием. ClientY видит входящее соединение с WAN IP на ERX-2 eth0. ClientY не знает и не видит сегмент 10.0.0.0/24. ClientX 10.0.0.x хочет поговорить с ClientZ (192.168.1.123)? Соответствует правилу LAN_IN 40, отбрасываем. Соединение не устанавливается. ClientX 10.0.0.x хочет поговорить с Интернетом (1.1.1.1)? Соответствует default-action LAN_IN, принимаем, маршрутизируем через ERX-2 eth0 с маскированием.
 
 
 
#3
03.02.2025 22:47:00
Спасибо за помощь в этом. :) Какие команды мне нужно ввести, чтобы добавить правила, которые ты упомянул?
 
 
 
#4
01.02.2025 00:54:00
Сценарий: Клиент в сети 10.0.0.0/24 хочет связаться с 192.168.1.0/24.

Клиент отправляет запрос (src 10.0.0.x, dst 192.168.1.y).

Первая возможная точка фаервола: примененно правило LAN_IN на коммутаторе ERX-2 switch0.

Разрешить 192.168.1.150 в качестве назначения.

Заблокировать 192.168.1.0/24 в качестве назначения.

Коммутатор switch0 не имеет применённого правила LAN_IN в вашей конфигурации, поэтому весь трафик разрешается для маршрутизации куда угодно.

ERX-2 определяет, что назначение находится на eth0 в сторону 192.168.1.0/24.

Вторая возможная точка фаервола: примененно правило WAN_OUT на ERX-2 eth0.

Разрешить 192.168.1.150 в качестве назначения.

Заблокировать 192.168.1.0/24 в качестве назначения.

Кажется, что ERX-2 eth0 использует адрес 192.168.1.0/24 как WAN, да? Если это так, и вы до сих пор не применили ни одно из вышеперечисленных правил, соединение дойдёт до назначения через коммутаторы Cisco. Это всё лишь ARP в данный момент.
 
 
 
Страницы: 1
Читают тему (гостей: 1)