Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Похоже, файрвол на основе зон не блокирует внешний трафик полностью., wifiman
 
#1
23.02.2025 13:28:00
Привет! У меня настроен новый Cloud Gateway Max, UniFi OS 4.1.13, Network 9.0.114. Я создал сеть VLAN ID 30 для камер видеонаблюдения Protect и хочу заблокировать весь интернет-трафик для этой сети, кроме доступа к ui.com для обновлений прошивки. Поэтому в настройках сети я разрешил доступ в Интернет для VLAN, и хочу использовать файрвол на основе зон для контроля трафика. Однако, я не могу заблокировать весь трафик из VLAN 30 во внешний мир, основываясь на этой настройке:  Используя только эту роль, я все равно могу пинговать и подключаться к google.de – Почему? Разве это не должно блокировать весь трафик?
 
 
 
#2
17.03.2025 12:07:00
Поддержка UI подтвердила, что это проблема: "[...] оказалось, что IPv6-подсеть не заполняется в списке IPSet, который использует правило брандмауэра для блокировки пакетов во внешнюю сеть". Надеюсь, это исправят в одном из следующих релизов... А пока, если у кого-то такая же проблема, есть обходной путь: "добавить дополнительное правило брандмауэра с источником Internal и выбрать фильтр IP (& ввести IPv6-подсеть для VLAN в списке)".
 
 
 
#3
25.02.2025 05:31:00
Уже создал заявку: #4585240 – надеюсь, получится воспроизвести и исправить это в ближайшее время. Я перешёл на UniFi в качестве роутера, чтобы настроить VLAN и нормальное разделение/контроль потока трафика. А теперь именно это не работает… ну что ж, такова участь 🙂
 
 
 
#4
24.02.2025 19:14:00
У меня нет реализации IPv6, поэтому не могу проверить это для тебя. Я бы прикрепил файл поддержки как личное вложение к этой теме и сообщил @UI-Glenn об этой проблеме с IPv6. С IPv4 всё работало нормально, но пусть разработчики проверят IPv6.
 
 
 
#5
24.02.2025 06:45:00
Я подключился к WiFi той VLAN, мне был назначен IP-адрес через DHCP этой VLAN (192.168.30.x). Заглянув чуть глубже, думаю, это может быть связано с неправильной блокировкой IPv6. IPv4-адреса не работают в этой VLAN, но IPv6 работают (хотя правило настроено на блокировку и IPv4, и IPv6). У меня DualStack конфигурация от моего провайдера (Vodafone). Можете попробовать воспроизвести это снова?
 
 
 
#6
24.02.2025 04:40:00
Я только что попробовал это, и не могу повторить. Я добавил правило блокировки в начало моей недоверенной зоны, и система предупредила меня, что я буду блокировать весь трафик. Я проверил ping и доступ браузера к google.com и к 8.8.8.8, и действительно, они были заблокированы. Мне пришлось переключиться на другую VLAN, чтобы получить доступ в интернет, чтобы я мог удалить правило блокировки и возобновить трафик.

Глупый вопрос, ты был подключен к камере в сети, когда тестировал? Сетевой кабель или WiFi? Если ты использовал сетевой кабель, подключён ли ты к порту, выбрав только VLAN для камеры и блокируя все остальные VLAN?
 
 
 
Страницы: 1
Читают тему (гостей: 1)