Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
GEOIP убивает интернет-соединение., UniFi Network
 
#1
22.09.2018 17:56:00
Раньше у меня была включена геоблокировка на USG версии 4.4.22. Всё работало нормально, пока я не обновился до 4.4.28. Теперь, когда геоблокировка активирована, кажется, что весь исходящий трафик блокируется. Даже пинг до 8.8.8.8 не проходит. Входящий трафик работает без проблем. Когда геоблокировка отключена или настроена на блокировку некоторых стран, всё работает как надо. По умолчанию у меня разрешён доступ только из Нидерландов. Я пробовал откатиться на 4.4.22, но это не решило проблему. Буду очень признателен за любые советы по её устранению. С уважением, Арвин.
 
 
 
#2
08.12.2018 22:56:00
На самом деле я использовал 1.1.1.1 как DNS, но это не должно отличаться от 8.8.8.8. Думаю, ты прав, когда говоришь, что запросы плохо отслеживаются файрволом, и поэтому входящий трафик отклоняется. Когда я пытаюсь пропинговать 8.8.8.8, запрос всё равно отклоняется. Похоже, фильтр GEOIP творит какие-то загадочные вещи. В любом случае, большое спасибо за помощь!
 
 
 
#3
05.12.2018 20:48:00
Я не разбирался, как именно geoip-фильтрация настраивает свои правила (возможно, можно было бы это увидеть, если бы мы подключились по ssh к USG и выгрузили правила фаервола), поэтому не могу сказать точно. Запрос идёт «исходящим», а ответ от DNS-сервера приходит как «входящий». Обычно это должно проходить, потому что фаервол отслеживает соединения. Но 8.8.8.8 — это не совсем «обычный» адрес, так как он располагает несколькими физическими точками и использует anycast-маршрутизацию, чтобы направлять ваши запросы на ближайший публичный DNS-сервер Google. Возможно, именно это и вызвало проблему, но geoip-фильтрация всё ещё в бета-версии, так что могут быть баги 😀
 
 
 
#4
05.12.2018 20:37:00
Кстати, есть одна вещь, которую я не понимаю: DNS-запрос — это исходящий трафик, и GEOIP-фильтр разрешает его, независимо от страны. Это подтверждается тем, что я могу заходить на сайты, размещённые, например, в США. Так как же получается, что DNS-запросы к странам, не указанным в фильтре, блокируются, а «обычный» трафик при этом разрешён?
 
 
 
#5
05.12.2018 20:31:00
Да! Это сработало! Я переключился на DNS-провайдера из Нидерландов, и теперь всё работает! Также проверил с помощью портсканера из другой страны — теперь всё работает как надо. Спасибо за помощь!
 
 
 
#6
05.12.2018 19:23:00
Направление трафика у тебя, наверное, должно быть «в оба конца». К тому же твои правила разрешают только два государства, а 8.8.8.8 не подходит ни под одно из них, так что стоит подумать либо о блокировке списка стран, либо о расширении списка разрешённых стран.
 
 
 
#7
05.12.2018 19:07:00
Обновил USG до версии 4.4.34.5140612. Но когда включаю GEOIP, весь исходящий трафик блокируется. Входящий трафик при этом разрешён. Пробовал отправлять логи на syslog сервер, но никаких правил GEOIP там не появляется. Буду благодарен за любые советы, это меня уже сводит с ума.
 
 
 
Страницы: 1
Читают тему (гостей: 1)