UCG Max ZBF блокирует трафик с Apple TV на MacBook Air.

UCG Max ZBF блокирует трафик с Apple TV на MacBook Air., wifiman

AndyTNZ

Guest

24.01.2025 11:21:00

Недавно перешел на UCG Max в одной из своих сетей (после многих лет использования ER-Xs и ER-4) и использую Network 9.0.108 и OS 4.1.13. В целом все хорошо, перенесся на новый ZBF и добавил некоторые собственные политики с ER-X и ER-4. Обычное учетверивание политик брандмауэра, но это не выглядит проблемой. Но одна странность, которую я вижу в логах потоков Insights: доступ Apple TV блокируется к Wi-Fi (но не к Ethernet) моего MacBook Air, ссылаясь на политику брандмауэра "Block Inter VLAN traffic".

Детали:
* Apple TV находится в VLAN 7
* MacBook Air находится в VLAN 1 по умолчанию
* Политика брандмауэра: Разрешить Apple TV ко всем RFC 1918 сетям
* Политика брандмауэра: Заблокировать трафик между VLAN

"Поговорил" с ChatGPT и следовал его советам по обеспечению правильной последовательности правил брандмауэра и максимально конкретных политик брандмауэра, а также изучил сайт Apple Community и создал политику брандмауэра, разрешающую источнику Apple TV с фиксированным IP-адресом 192.168.71.100 доступ к MacBook Air с фиксированным IP-адресом Wi-Fi 192.168.1.128 на порт 3689, используемый Apple, очевидно, в протоколе TCP… но все равно в логах Insight Flow появляется нескончаемый поток блокировок. И это единственные необъяснимые блокировки, остальные правильно вытекают из политики "Block Inter VLAN traffic".

Это не критичная проблема на практике, так как Apple TV и MacBook Air работают нормально, но я надеюсь, что кто-нибудь сможет поделиться своими соображениями о том, что может вызывать проблему и 8500 или около того блокировок за последнюю неделю, и какое решение было бы эффективным.

AndyTNZ

Guest

26.01.2025 05:38:00

@khtadmin Большое спасибо за подробный ответ. У меня уже настроены политики межсетевого экрана, которые охватывают ваши предложения, включая разрешение трафика в обоих направлениях между Apple TV и MacBook. Меня действительно озадачивает, почему Wi-Fi заблокирован, а проводная сеть — нет. Кроме того, я думаю, что проведу тщательную проверку всех политик межсетевого экрана и временно приостановлю потенциальных подозреваемых, чтобы убедиться, что это не что-то простое, вроде порядка политик, создающего блокировку, которую я пока не заметил. Также посмотрю, что происходит с Wireshark. Я согласен насчет группировки сетей, которым нужно общаться, но годами у меня Mac на стандартном Management VLAN 1, а всё остальное на отдельных VLAN (например, Professional / Office, IoT, Cameras, Apple TVs, Smart TVs, Smart Lights на VLAN 2, 3, 4, 7, 8, 9 соответственно), и я немного нехочу переносить Apple TV на VLAN 1, так как это кажется нелогичным.

AndyTNZ Guest	#3 26.01.2025 05:24:00 @jojoman33 Да, никаких изоляций портов/клиентов.

jojoman33 Guest	#4 25.01.2025 17:17:00 @AndyTNZ Ты проверил изоляцию портов/клиентов?

packetengines

Guest

24.01.2025 23:10:00

Wi-Fi и Ethernet находятся в одной VLAN/Subnet/Broadcast Domain, похоже на ошибку Firewall. Может быть, этот пост от @skitahoe будет полезен в диагностике.https://community.ui.com/questions/Airplay-Wont-Work-with-Wired-Roku/d09b89a3-7306-4b1e-9e18-e144733b3c4e#answer/06f78fd9-4ed2-43cb-a154-9f47a0ef4016

AndyTNZ Guest	#6 24.01.2025 20:05:00 Спасибо, Jojoman33. "Да" по первым трем пунктам, а по четвертому – Apple TV и MacBook находятся в одной "Внутренней" зоне, хотя и в отдельных VLAN.

jojoman33 Guest	#7 27.01.2025 13:42:00 @AndyTNZ Порядок твоих правил файрвола тоже важен. Не мог бы ты поделиться своими правилами для внутреннего трафика? Помнится, ты упоминал, что где-то у тебя есть правило, запрещающее весь трафик.

AndyTNZ Guest	#8 27.01.2025 09:36:00 @packetengines Точно подметил... Пожалуй, мне нужно пересмотреть свой ход мыслей.

AndyTNZ Guest	#9 27.01.2025 09:34:00 @jojoman33 Расширенная версия:

packetengines Guest	#10 27.01.2025 09:00:00 @AndyTNZI я бы не рассматривал ATV как IoT-устройство, так же, как не считаю своим iPhone и iPad IoT-устройствами. tvOS, iOS и iPadOS используют один и тот же код, и часто одни и те же приложения доступны на всех трех платформах.

AndyTNZ Guest	#11 27.01.2025 08:40:00 @packetengines Да, по сути верно, но, наверное, я начал этим заниматься годами назад на ER-Xs & ER-4s, следуя видео на YouTube от Crosstalk Solutions, Willie Howe, Tom Lawrence и других.

jojoman33 Guest	#12 27.01.2025 00:44:00 @AndyTNZ Можешь, пожалуйста, кликнуть на одну из записей? Должна появиться боковая панель с более подробной информацией.

packetengines Guest	#13 27.01.2025 00:12:00 @AndyTNZ Ты уже поместил ATV в отдельный VLAN, потому что считаешь его IoT-устройством?

AndyTNZ Guest	#14 26.01.2025 23:53:00 @jojoman33Insights Лог Flow за последние несколько часов...

jojoman33 Guest	#15 26.01.2025 22:00:00 @AndyTNZ, скинь, пожалуйста, как выглядит заблокированный Flow Log. Это поможет понять, какое правило срабатывает, а также порт/протокол/IP.

packetengines Guest	#16 26.01.2025 06:06:00 @AndyTNZ А есть какая-то причина, почему квадроцикл и MacBook находятся в разных VLAN?

AndyTNZ Guest	#17 26.01.2025 05:41:00 @packetengines Спасибо за пост от @skitahoe... Обязательно посмотрю!

jojoman33 Guest	#18 24.01.2025 11:42:00 Ты разрешил передачу трафика multicast между сетями? Там есть галочка "allow multicast", и там можно добавлять/удалять VLAN. В правиле брандмауэра должно быть указано, какой трафик откуда и куда блокируется. Это нужное тебе правило. Ты разрешаешь возвратный трафик? Они в разных зонах или в одной?

Читают тему (гостей: 1)