Если у кого-то был подобный случай или что-то похожее, и он сможет пролить свет на эту ситуацию, советы будут очень кстати:
Ситуация: сеть UniFi, построенная исключительно из оборудования UniFi - роутер EFG с подключенными всеми коммутаторами UniFi (EFG работает на OS v4.1.13 / Network v 9.0.114, включен Zone-based firewall).
Несколько VLAN, все из которых изолированы путем установки флажка "isolate network" в настройках соответствующей сети. Сетевая изоляция кажется работающей нормально — я не могу пинговать устройства в других сетях ни по имени хоста, ни по IP-адресу, и не могу получить доступ к работающим веб-интерфейсам для таких вещей, как VoIP-телефоны и принтеры. Однако в разделе "Сеть" проводника Windows сетевое обнаружение видит ПК, подключенные ко всем другим сетям, и если попробовать UNC-подключение к одному из них (например, \\pc2), находящемуся в другой изолированной VLAN, он запросит учетные данные. Если ввести допустимые учетные данные, можно увидеть общие ресурсы ПК в другой изолированной VLAN.
Я пробовал:
* Перезагрузил EFG (Очевидно!)
* mDNS отключен на EFG для всех сетей.
* Создал глобальное правило брандмауэра "от любого к любому – блокировать"
* Отключил сетевую изоляцию после создания этого правила (результаты те же — нет пинга / нет доступа к веб-интерфейсу, но сетевое обнаружение находит устройства и может получать к ним доступ / получать запрос учетных данных).
* Пробовал между 2 сетями, одна из которых изолирована, а другая — нет.
* Создал новую "Зону", чтобы избавиться от нелепого правила "Разрешить все" по умолчанию в "Внутренней" зоне, перенес VLAN в нее и создал глобальное правило блокировки для этой зоны.
Все эти тесты дали одинаковые результаты — нет пинга или прямого доступа, но сетевое обнаружение может видеть устройства в других сетях и получать к ним доступ / получать запрос учетных данных.
Я воспроизвел тот же сценарий на UDM-Pro, и результаты идентичны.
Я сбросил настройки до заводских и создал 2 VLAN с включенной изоляцией на UCG-Ultra, и результаты также идентичны, как при запуске OOB версии 8.6, так и после обновления до v9.0.114, как до, так и после перехода к Zone-based firewall.
Буду рад любым предложениям и советам.
Спасибо.
Ситуация: сеть UniFi, построенная исключительно из оборудования UniFi - роутер EFG с подключенными всеми коммутаторами UniFi (EFG работает на OS v4.1.13 / Network v 9.0.114, включен Zone-based firewall).
Несколько VLAN, все из которых изолированы путем установки флажка "isolate network" в настройках соответствующей сети. Сетевая изоляция кажется работающей нормально — я не могу пинговать устройства в других сетях ни по имени хоста, ни по IP-адресу, и не могу получить доступ к работающим веб-интерфейсам для таких вещей, как VoIP-телефоны и принтеры. Однако в разделе "Сеть" проводника Windows сетевое обнаружение видит ПК, подключенные ко всем другим сетям, и если попробовать UNC-подключение к одному из них (например, \\pc2), находящемуся в другой изолированной VLAN, он запросит учетные данные. Если ввести допустимые учетные данные, можно увидеть общие ресурсы ПК в другой изолированной VLAN.
Я пробовал:
* Перезагрузил EFG (Очевидно!)
* mDNS отключен на EFG для всех сетей.
* Создал глобальное правило брандмауэра "от любого к любому – блокировать"
* Отключил сетевую изоляцию после создания этого правила (результаты те же — нет пинга / нет доступа к веб-интерфейсу, но сетевое обнаружение находит устройства и может получать к ним доступ / получать запрос учетных данных).
* Пробовал между 2 сетями, одна из которых изолирована, а другая — нет.
* Создал новую "Зону", чтобы избавиться от нелепого правила "Разрешить все" по умолчанию в "Внутренней" зоне, перенес VLAN в нее и создал глобальное правило блокировки для этой зоны.
Все эти тесты дали одинаковые результаты — нет пинга или прямого доступа, но сетевое обнаружение может видеть устройства в других сетях и получать к ним доступ / получать запрос учетных данных.
Я воспроизвел тот же сценарий на UDM-Pro, и результаты идентичны.
Я сбросил настройки до заводских и создал 2 VLAN с включенной изоляцией на UCG-Ultra, и результаты также идентичны, как при запуске OOB версии 8.6, так и после обновления до v9.0.114, как до, так и после перехода к Zone-based firewall.
Буду рад любым предложениям и советам.
Спасибо.
Что-то интересное, и, кажется, это имеет смысл, чтобы не заблокировать себя из собственных портов, так что невозможно не получить доступ к шлюзу, на самом шлюзе? В общем, если у тебя есть VLAN A (VLAN шлюза), B и C, ты можешь указать, чтобы A была отделена от B и C. Кажется, работает. Это хорошие новости, ура! Итак, если я подключаюсь к порту, который находится в сети B, я не могу найти IP-адрес в диапазоне A. Это хорошо. Однако вот странность. Если A имеет диапазон X.X.1.X, а B имеет диапазон X.X.2.X, и я подключаюсь к порту VLAN B, я правильно попадаю в диапазон X.X.2.X. И если я пытаюсь получить доступ к X.X.1.1 (шлюз), я ничего не получаю. Однако, если я ввожу X.X.2.1, я получаю доступ к шлюзу, могу ввести имя пользователя/пароль и попасть внутрь и управлять шлюзом. И, возможно, еще более странно, если я возвращаюсь и подключаюсь обратно к VLAN A, который имеет шлюз X.X.1.1, и я ввожу IP-адрес X.X.2.1, я все равно могу получить доступ к шлюзу!? Я пытаюсь изолировать шлюз в своем собственном VLAN, чтобы другие VLAN не могли получить доступ к шлюзу. Есть ли какой-нибудь способ это сделать?