У меня возникла странная проблема... У меня настроены две беспроводные сети в UniFi Controller: одна для приватного доступа, другая — гостевая. Приватная сеть получает IP-адреса от внутреннего DHCP-сервера, включая адреса DNS моего внутреннего DNS-сервера. Всё работает как положено. Гостевая сеть получает адреса от моего ASA-файрвола и использует публичные DNS-серверы (8.8.8.8 и 8.8.4.4). Трафик идёт через отдельный внешний интерфейс ASA и совсем другого провайдера.
В приватной сети, если я делаю NSLookup по 8.8.8.8, резолв работает как надо, а в WireShark видно, что ответ по DNS приходит с MAC-адреса приватного шлюза ASA, как и ожидалось. Но в гостевой сети при том же запросе ответ приходит с MAC-адреса WAP, а не с MAC адреса DMZ-шлюза на файрволе, как я ожидал.
Я обратил внимание на это из-за настроенного у меня split-DNS для домена. Внутренние клиенты при запросе получают один IP, а внешние — другой. Но после недавнего обновления Controller/Firmware гостевые клиенты при запросе получают ВНУТРЕННИЙ IP, а не ВНЕШНИЙ. Это, понятно, вызывает проблемы, потому что гостевая сеть DMZ не имеет доступа к внутреннему IP-пространству. Если бы гостям выдавали правильный внешний IP, их трафик шёл бы через гостевой шлюз (через другого провайдера) и доходил бы до нужного ресурса через основной интерфейс привата.
В итоге складывается ощущение, что Controller или AP каким-то образом вмешиваются в DNS, делают проксирование или модификацию запросов и обращаются к моему ВНУТРЕННЕМУ DNS, вместо того чтобы перенаправлять запросы на публичные DNS-серверы. И я не могу понять, как вернуть прежнее поведение.
Спасибо за любую помощь!
В приватной сети, если я делаю NSLookup по 8.8.8.8, резолв работает как надо, а в WireShark видно, что ответ по DNS приходит с MAC-адреса приватного шлюза ASA, как и ожидалось. Но в гостевой сети при том же запросе ответ приходит с MAC-адреса WAP, а не с MAC адреса DMZ-шлюза на файрволе, как я ожидал.
Я обратил внимание на это из-за настроенного у меня split-DNS для домена. Внутренние клиенты при запросе получают один IP, а внешние — другой. Но после недавнего обновления Controller/Firmware гостевые клиенты при запросе получают ВНУТРЕННИЙ IP, а не ВНЕШНИЙ. Это, понятно, вызывает проблемы, потому что гостевая сеть DMZ не имеет доступа к внутреннему IP-пространству. Если бы гостям выдавали правильный внешний IP, их трафик шёл бы через гостевой шлюз (через другого провайдера) и доходил бы до нужного ресурса через основной интерфейс привата.
В итоге складывается ощущение, что Controller или AP каким-то образом вмешиваются в DNS, делают проксирование или модификацию запросов и обращаются к моему ВНУТРЕННЕМУ DNS, вместо того чтобы перенаправлять запросы на публичные DNS-серверы. И я не могу понять, как вернуть прежнее поведение.
Спасибо за любую помощь!
