В воскресенье днем у меня возникла проблема, о которой я даже не подозревал: IoT-устройства в "Незащищенной зоне" перестали подключаться к интернету. Виновником оказался DNS. Проблема началась несколько часов назад. До этого все работало как положено. Я отправил заявку в службу поддержки Unifi, поэтому вместо повторного воспроизведения проблемы я прикрепляю текст заявки, который, возможно, будет полезен другим, столкнувшимся с подобной ситуацией:
Здравствуйте, служба поддержки UniFi!
У меня возникла проблема с устройствами в VLAN 30 (наша "Незащищенная зона" для IoT-устройств), которые не могут получить доступ к интернету. VLAN в "Внутренних" зонах работают как обычно.
Мы используем **UDM Pro Max с UniFi Network 9.0.114**.
---### ✅ Что работает:- Устройства в "Незащищенной зоне" (IOT - vlan30, Sonos - vlan90, Test - vlan100) получают:- Действительные DHCP-аренд (например, `192.168.30.x`)- Правильный шлюз (`192.168.30.1`)- DNS-серверы через DHCP (например, `9.9.9.9`, `1.1.1.1`)- Разрешение DNS работает непосредственно с UDM (см. вывод команды ниже)- Другие VLAN и устройства во "Внутренних" зонах (проводные и беспроводные) имеют полный доступ к интернету и работают как обычно.- Правила межсетевого экрана на основе зон явно настроены для разрешения:- **Незащищенная → Шлюз**: DNS (UDP/TCP 53)- **Незащищенная → Внешняя**: Весь трафик (пользовательское правило вверху)---### ❌ Что не работает:- **Клиенты в любом VLAN в "Незащищенной зоне" не могут получить доступ к интернету - протестировано с VLAN 30 IOT**- Все клиенты отображают "Нет доступа к интернету" (например, Android Pixel Tablet, ipad, pixel 9 pro, iphone 16 pro, ноутбуки Windows и Mac, и т.д.)- Клиенты даже не могут пинговать внешние IP-адреса (например, `8.8.8.8` или '1.1.1.1')- Перезагрузки UDM Pro Max **не решили проблему**- Повторная настройка VLAN 30 и пересоздание сети **не помогли** (например, изменение ID VLAN с 30 на 31 для повторной настройки)→ Это подтверждает, что проблема изолирована к VLAN во "Внутренних зонах".---Я подключился к UDM Pro Max через SSH, чтобы проверить несколько вещей:### 🛠️ Команды и вывод для устранения неполадок (запускать через SSH на UDM):```bashping -I br30 8.8.8.8# 100% packet loss ping -I br30 1.1.1.1# 100% packet loss nslookup google.com 1.1.1.1# Успешно разрешается с UDM```Затем проверил конфигурацию NAT:```bashiptables -t nat -S POSTROUTING# -P POSTROUTING ACCEPT# -A POSTROUTING -j UBIOS_POSTROUTING_JUMP iptables -t nat -S UBIOS_POSTROUTING_JUMP# -N UBIOS_POSTROUTING_JUMP# -A UBIOS_POSTROUTING_JUMP -j UBIOS_POSTROUTING_USER_HOOK```---### ❗ Важное открытие:Цепочка NAT UDM (`UBIOS_POSTROUTING_JUMP`) полностью пуста, за исключением перехода к `UBIOS_POSTROUTING_USER_HOOK`, который—спойлер—также пуст, если только пользовательские правила не добавлены вручную (чего я не делал).Там нет:- ❌ Правила NAT/MASQUERADE для `br30` или `192.168.30.0/24`- ❌ Правил NAT для любого VLAN вообще- ✅ DNS работает с UDM (потому что он направляется непосредственно в WAN и не требует NAT). DNS также работает для всех устройств во "Внутренней зоне"- ❌ Клиенты в "Незащищенной зоне" (специально протестировано с VLAN 30) не могут получить доступ к WAN, поскольку их трафик никогда не обрабатывается через NAT---### 📌 Запрос:Не могли бы вы посоветовать:- Как восстановить NAT/отображение для VLAN 30?- Является ли это известной проблемой с UniFi OS 9.0.114 или UDM Pro Max?- Есть ли известное решение или исправление?- Будет ли безопасным или поддерживаемым добавление правила MASQUERADE для VLAN 30 вручную (например, в `UBIOS_POSTROUTING_USER_HOOK`)?Я прикрепил файл поддержки. Пожалуйста, сообщите, какие еще данные вам нужны, чтобы помочь в решении проблемы.____Пока я не разберусь с проблемой, я создал временный VLAN во "Внутренней зоне" с соответствующим SSID Wi-Fi, чтобы телефоны и iPad работали через Wi-Fi, чтобы удовлетворить потребности жены. Обычно я оставляю их в сети IoT в "Незащищенной зоне".---Если у кого-нибудь есть другие идеи, как это можно исправить, я открыт для предложений.
Здравствуйте, служба поддержки UniFi!
У меня возникла проблема с устройствами в VLAN 30 (наша "Незащищенная зона" для IoT-устройств), которые не могут получить доступ к интернету. VLAN в "Внутренних" зонах работают как обычно.
Мы используем **UDM Pro Max с UniFi Network 9.0.114**.
---### ✅ Что работает:- Устройства в "Незащищенной зоне" (IOT - vlan30, Sonos - vlan90, Test - vlan100) получают:- Действительные DHCP-аренд (например, `192.168.30.x`)- Правильный шлюз (`192.168.30.1`)- DNS-серверы через DHCP (например, `9.9.9.9`, `1.1.1.1`)- Разрешение DNS работает непосредственно с UDM (см. вывод команды ниже)- Другие VLAN и устройства во "Внутренних" зонах (проводные и беспроводные) имеют полный доступ к интернету и работают как обычно.- Правила межсетевого экрана на основе зон явно настроены для разрешения:- **Незащищенная → Шлюз**: DNS (UDP/TCP 53)- **Незащищенная → Внешняя**: Весь трафик (пользовательское правило вверху)---### ❌ Что не работает:- **Клиенты в любом VLAN в "Незащищенной зоне" не могут получить доступ к интернету - протестировано с VLAN 30 IOT**- Все клиенты отображают "Нет доступа к интернету" (например, Android Pixel Tablet, ipad, pixel 9 pro, iphone 16 pro, ноутбуки Windows и Mac, и т.д.)- Клиенты даже не могут пинговать внешние IP-адреса (например, `8.8.8.8` или '1.1.1.1')- Перезагрузки UDM Pro Max **не решили проблему**- Повторная настройка VLAN 30 и пересоздание сети **не помогли** (например, изменение ID VLAN с 30 на 31 для повторной настройки)→ Это подтверждает, что проблема изолирована к VLAN во "Внутренних зонах".---Я подключился к UDM Pro Max через SSH, чтобы проверить несколько вещей:### 🛠️ Команды и вывод для устранения неполадок (запускать через SSH на UDM):```bashping -I br30 8.8.8.8# 100% packet loss ping -I br30 1.1.1.1# 100% packet loss nslookup google.com 1.1.1.1# Успешно разрешается с UDM```Затем проверил конфигурацию NAT:```bashiptables -t nat -S POSTROUTING# -P POSTROUTING ACCEPT# -A POSTROUTING -j UBIOS_POSTROUTING_JUMP iptables -t nat -S UBIOS_POSTROUTING_JUMP# -N UBIOS_POSTROUTING_JUMP# -A UBIOS_POSTROUTING_JUMP -j UBIOS_POSTROUTING_USER_HOOK```---### ❗ Важное открытие:Цепочка NAT UDM (`UBIOS_POSTROUTING_JUMP`) полностью пуста, за исключением перехода к `UBIOS_POSTROUTING_USER_HOOK`, который—спойлер—также пуст, если только пользовательские правила не добавлены вручную (чего я не делал).Там нет:- ❌ Правила NAT/MASQUERADE для `br30` или `192.168.30.0/24`- ❌ Правил NAT для любого VLAN вообще- ✅ DNS работает с UDM (потому что он направляется непосредственно в WAN и не требует NAT). DNS также работает для всех устройств во "Внутренней зоне"- ❌ Клиенты в "Незащищенной зоне" (специально протестировано с VLAN 30) не могут получить доступ к WAN, поскольку их трафик никогда не обрабатывается через NAT---### 📌 Запрос:Не могли бы вы посоветовать:- Как восстановить NAT/отображение для VLAN 30?- Является ли это известной проблемой с UniFi OS 9.0.114 или UDM Pro Max?- Есть ли известное решение или исправление?- Будет ли безопасным или поддерживаемым добавление правила MASQUERADE для VLAN 30 вручную (например, в `UBIOS_POSTROUTING_USER_HOOK`)?Я прикрепил файл поддержки. Пожалуйста, сообщите, какие еще данные вам нужны, чтобы помочь в решении проблемы.____Пока я не разберусь с проблемой, я создал временный VLAN во "Внутренней зоне" с соответствующим SSID Wi-Fi, чтобы телефоны и iPad работали через Wi-Fi, чтобы удовлетворить потребности жены. Обычно я оставляю их в сети IoT в "Незащищенной зоне".---Если у кого-нибудь есть другие идеи, как это можно исправить, я открыт для предложений.
