Похоже, список портов, необходимых для Unifi (), неполный, по крайней мере, для локального принятия уровня L2. У меня есть UDM-Pro-Max, который, похоже, не хочет принять новый свитч.
Немного предыстории — я использую более новые межсетевые экраны на основе зон и уделяю больше внимания безопасности, поэтому я перенёс VLAN управления устройствами Unifi (т.е. VLAN 1) в отдельную зону управления, а не в зону "Internal" по умолчанию. Я пытаюсь разобраться, какие правила межсетевого экрана необходимы для принятия устройств Unifi через эту зону.
Правило зоны "Management-to-Gateway" настроено с использованием TCP- и UDP-портов, взятых из ссылки выше. Источник для DHCP[v6] — "Any" в зоне управления. Для всех последующих политик источником является сеть управления в зоне управления.
Пользовательская конфигурация — Разрешить DHCP
Пользовательская конфигурация — Разрешить DHCPv6
Пользовательская конфигурация — Разрешить ICMP
Пользовательская конфигурация — Разрешить Unifi-TCP (53, 8080, 443, 8443, 8880-8882, 8843, 8844, 6789, 3478, 5349)
Пользовательская конфигурация — Разрешить Unifi-UDP (53, 3478, 5114, 5656-5699, 10001, 1900, 123)
Пользовательская конфигурация — Запретить всё (источник любой)
По умолчанию — Разрешить всё (источник любой)
Согласно , я думаю, что список TCP- и UDP-портов выше слишком широк, но пока я бросаю в него "всё и сразу" с планами отката, как только увижу, что это работает. Устройства получают IP-адреса, и я могу "видеть" новое устройство Unifi, но когда я нажимаю "adopt", оно никогда не переходит в состояние "getting ready" и просто возвращается в состояние "Click to Resolve". Как только я отключаю/приостанавливаю правило "Запретить всё", я могу нажать "resolve" и фактически продолжить принятие. Я *не* использую опцию 43, так как это кажется проблемой межсетевого экрана, а не проблемой обнаружения.
У кого-нибудь есть какие-нибудь мысли по этому поводу?
Немного предыстории — я использую более новые межсетевые экраны на основе зон и уделяю больше внимания безопасности, поэтому я перенёс VLAN управления устройствами Unifi (т.е. VLAN 1) в отдельную зону управления, а не в зону "Internal" по умолчанию. Я пытаюсь разобраться, какие правила межсетевого экрана необходимы для принятия устройств Unifi через эту зону.
Правило зоны "Management-to-Gateway" настроено с использованием TCP- и UDP-портов, взятых из ссылки выше. Источник для DHCP[v6] — "Any" в зоне управления. Для всех последующих политик источником является сеть управления в зоне управления.
Пользовательская конфигурация — Разрешить DHCP
Пользовательская конфигурация — Разрешить DHCPv6
Пользовательская конфигурация — Разрешить ICMP
Пользовательская конфигурация — Разрешить Unifi-TCP (53, 8080, 443, 8443, 8880-8882, 8843, 8844, 6789, 3478, 5349)
Пользовательская конфигурация — Разрешить Unifi-UDP (53, 3478, 5114, 5656-5699, 10001, 1900, 123)
Пользовательская конфигурация — Запретить всё (источник любой)
По умолчанию — Разрешить всё (источник любой)
Согласно , я думаю, что список TCP- и UDP-портов выше слишком широк, но пока я бросаю в него "всё и сразу" с планами отката, как только увижу, что это работает. Устройства получают IP-адреса, и я могу "видеть" новое устройство Unifi, но когда я нажимаю "adopt", оно никогда не переходит в состояние "getting ready" и просто возвращается в состояние "Click to Resolve". Как только я отключаю/приостанавливаю правило "Запретить всё", я могу нажать "resolve" и фактически продолжить принятие. Я *не* использую опцию 43, так как это кажется проблемой межсетевого экрана, а не проблемой обнаружения.
У кого-нибудь есть какие-нибудь мысли по этому поводу?