Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
CloudKey не работает, UniFi Network
 
#1
15.11.2016 15:17:00
Всем привет, извините за мой английский. У меня настроена сеть с несколькими точками доступа UAP-AC-LR, USG и CloudKey с контроллером. На всех устройствах стоит последняя версия прошивки. С локальной сети контроллер работает без проблем. А снаружи появляется сообщение «Невозможно подключиться к контроллеру из-за неизвестной ошибки. Пожалуйста, попробуйте позже». USG стоит за роутером от провайдера (AVM FRITZ!box 7490). Этот роутер подключен к WAN-интерфейсу USG, USG в свою очередь подключен к свитчу, и CloudKey тоже к тому же свитчу. Я хочу иметь доступ к контроллеру без проброса портов. VPN — вариант, но USG поддерживает только небезопасный PPTP, что меня очень удивляет. Кто-нибудь может помочь? Спасибо, Крис.
 
 
 
#2
19.12.2016 20:08:00
На какой стадии у тебя этот вопрос? Пробовал ли ты с внешнего компьютера и через мобильное приложение, запускал с включённой и выключенной функцией «Force WebRTC»? Грегг
 
 
 
#3
15.12.2016 11:50:00
Ладно... Но у меня нет идей, как решить эту проблему на основе этой информации. Я смог убедить клиента подождать с установкой до следующей недели. Но установка обязательно должна быть выполнена на следующей неделе. Пока проблема не решится, я буду использовать проброс портов. Другого выхода у меня нет. Спасибо всем...
 
 
 
#4
19.12.2016 21:05:00
Ничего не произошло... С телефона работает, но не всегда. С компьютера иногда работает, но тоже не всегда. Иногда с включённым forceWebRTC работает, иногда — с выключенным. Я сдался... Функция Cloud Access в моей ситуации очень ненадёжная. Ещё и поддержки от производителя нет. Так что я смирился. Спасибо всем, кто отвечал в этой теме.
 
 
 
#5
03.05.2017 06:26:00
В чём была причина, по которой ты просто не мог добавить правило файрвола на USG, чтобы разрешить CLOUDKEY выходить по любому протоколу куда угодно?
 
 
 
#6
20.12.2016 22:36:00
Я ничего не знаю про USG, но был бы удивлён, если бы хоть один шлюз безопасности не позволял добавить локальную учётную запись пользователя. Я использую фаерволы WatchGuard. Для большинства удалённых подключений я применяю SSLVPN, но для некоторых настроек создаю локальный аккаунт. Я вхожу под этой учёткой, и только тогда политика переадресации портов разрешает доступ. Хотя, с другой стороны, блокировать доступ к 8443 — это, наверное, слишком параноидально! Грегг
 
 
 
#7
20.12.2016 07:08:00
Спасибо за совет, но такого фаервола нет. Есть модем от провайдера и USG от Ubiquiti. Больше ничего. Другой инфраструктуры нет. До того как я порекомендовал USG клиенту, я никогда его не видел. Это была большая ошибка. Я прочитал что-то про «VPN» в характеристиках и подумал, что смогу настроить VPN-соединение. Я даже не догадывался, что это старый и небезопасный PPTP VPN. Он вообще не подходит. Проброс порта 8443 в худшем случае менее опасен, чем PPTP VPN. Крис
 
 
 
#8
19.12.2016 21:13:00
Если уж обязательно использовать 8443 и перенаправление портов, то советую делать это через фаервол, который требует аутентификацию перед тем, как открыть этот порт, или разрешать доступ только с FQDN вашего местоположения. Так он не будет открыт для всего мира. Gregg
 
 
 
#9
14.12.2016 16:32:00
Суть в том, что WebRTC использует ICE (interactive connectivity establishment) для поиска наилучшего рабочего пути между двумя конечными точками. Рефлексивный кандидат — это адрес/порт, назначенный NAT при отображении внутреннего адреса/порта. Подробнее об этом можно прочитать в RFC5245.
 
 
 
#10
14.12.2016 14:22:00
Я проходил все предыдущие тесты с того же компьютера. В Chrome иногда всё работало. В Firefox — никогда. На другом компьютере (другой сайт) все попытки через Firefox приводили к сбою. Все эти компьютеры имеют неограниченный доступ в интернет без прокси. Тест WebRTC с https://test.webrtc.org показал предупреждение на «reflexive connectivity»: «Не удалось подключиться с использованием рефлексивных кандидатов, вероятно, из-за сетевой среды или конфигурации». Что это значит?
 
 
 
#11
14.12.2016 03:51:00
Это говорит мне о том, что фаервол на объекте, где находится контроллер, в какой-то мере ограничивает работу WebRTC. Контроллер имеет неограниченный доступ к интернету, и я могу без проблем подключиться к нему с телефона через приложение Unifi. Поэтому я не могу понять, почему проблема должна быть именно на фаерволе. Может быть, кто-то из Unifi подскажет нам что-то по этому поводу?

@UBNT-JohnMuhs

Честно говоря, я не знаю, как решить эту проблему. Функция облачного доступа была одной из ключевых причин, по которой клиент решил купить продукцию Unifi. Ему нужно подключаться к контроллеру без проброса портов и без открытия VPN. «Поэтому я не понимаю, почему это может быть связано с фаерволом.» Но если вы можете подключиться через приложение на телефоне, значит дело не в фаерволе. Если на телефоне работает, то и на любом ПК должно. Пробовали другой браузер или даже другой компьютер?
 
 
 
#12
14.12.2016 03:46:00
На компьютере, где, похоже, возникают проблемы с WebRTC, стоит попробовать воспользоваться средством устранения неполадок WebRTC. Один из примеров можно найти ЗДЕСЬ.

С уважением,  
Майк

ПРИМЕЧАНИЕ: Я удалил большую часть содержимого поста, кажется, я устал и слишком все усложняю. Думаю, это хороший отправной пункт.
 
 
 
#13
14.12.2016 03:31:00
@phk46, ты отвечаешь не тому человеку. Моя мысль была в том, что мой контроллер работает отлично, когда только эти исходящие порты открыты. Хотя, наверное, я мог выразиться яснее, так что твое недоразумение понятно. Я обновил свой пост, чтобы было понятнее.
 
 
 
#14
13.12.2016 23:37:00
Это говорит мне о том, что брандмауэр на площадке с контроллером настроен так строго, что нарушает работу WebRTC. Контроллер имеет полный доступ к интернету, и я спокойно могу подключиться к нему с телефона через приложение Unifi. Так что я не понимаю, почему проблема должна быть именно в брандмауэре. Может, кто-то из Unifi сможет нам что-то подсказать?

@UBNT-JohnMuhs

Я вообще не знаю, как решить эту проблему. Функция облачного доступа была одной из ключевых причин, по которой заказчик решил купить продукцию Unifi. Он хочет иметь доступ к контроллеру без переадресации портов и без открытия VPN-соединения.
 
 
 
#15
13.12.2016 20:33:00
Я предполагаю, что проблема в фильтре исходящих пакетов. Хотя я точно не знаю, как контроллер использует WebRTC, основная задача WebRTC — попробовать разные способы установить прямое соединение между двумя сторонами. В нашем случае этими сторонами будут ваш браузер и контроллер. unifi.ubnt.com выступает посредником в этом процессе, передавая метаданные между ними во время поиска пути для прямого соединения. Это в первую очередь предназначено для настройки RTP-потоков для аудио- и видеосессий в реальном времени, но может использоваться и для установления передачи данных. Думаю, именно это и происходит.

Эти потоки идут через динамически назначаемые порты. Обе стороны координируются, отправляя навстречу друг другу исходящие запросы, чтобы использовать обычное поведение межсетевого экрана, который открывает входящие «дырки» для UDP, когда фиксирует исходящий UDP-трафик. Когда обе стороны отправляют такие запросы навстречу друг другу, обычно после нескольких попыток удаётся наладить соединение без полной настройки межсетевого экрана на приём входящего UDP.

WebRTC также выполняет много других действий для обхода NAT и прочих препятствий, но суть остаётся той же. Если вы не разрешаете исходящие запросы по динамическим портам, то всё это работать не будет — разве что когда и браузер, и контроллер находятся за одним и тем же файрволом.

Почему у вас всё работает с мобильным приложением — объяснить не могу.
 
 
 
#16
13.12.2016 19:44:00
К вашему сведению, ИЗМЕНЕНИЕ: мой CK отлично работает с Cloud Access через приложение на телефоне или через ноутбук. Вот как у меня настроено. Даже при жестком файрволе все работает. Мой CK находится в отдельной подсети за файрволом с фильтром исходящих пакетов, который пропускает только UDP 3478, TCP 80, 8543 и 11143. Точно не помню, зачем нужны последние два порта, но, вероятно, потому что видел, что они блокировались в мониторе трафика файрвола.  

Я могу использовать приложение на телефоне для подключения как с включенным WebRTC, так и без него (раньше обязательно требовался WebRTC). Входящее перенаправление портов настроено для удалённых UAP-устройств и работает через UDP 3478 и TCP 8080.  

Порт 8443 у меня открыт только после того, как я залогинился в сам файрвол с помощью RADIUS-аккаунта; иначе он закрыт. Этот шаг даёт мне удалённый доступ к контроллеру с двухфакторной аутентификацией и при этом Cloud Access остается выключенным, пока UBNT не добавит двухфакторную аутентификацию.
 
 
 
#17
13.12.2016 17:00:00
Это говорит мне о том, что брандмауэр на объекте с контроллером настроен так ограничительно, что нарушает работу WebRTC. Ты можешь попробовать провести простые тесты WebRTC (не связанные с UniFi). (Знаю, что они есть, но где именно — не подскажу.)
 
 
 
#18
13.12.2016 07:44:00
@greggmh123

Спасибо за помощь. Я провёл несколько тестов. Через приложение Unifi я могу без проблем подключиться к своему контроллеру с телефона. С компьютера под Windows подключиться к контроллеру пока не получается. Но с того же ПК я без проблем могу зайти на демо-контроллер. Оба теста проводились с включённой опцией «Force WebRTC». ПК работает на Windows 10 с браузером Chrome. Он находится за pfSense Firewall, но доступ к интернету у ПК неограниченный. Контроллер находится на другом объекте. Я не пытаюсь сделать loopback через брандмауэр. Так что я не понимаю, в чём проблема. Я могу зайти на демо-контроллер с этого ПК, значит, думаю, что проблем с компьютером или брандмауэром нет. Я могу подключиться к своему контроллеру через приложение Unifi на телефоне, значит, проблем с CloudKey или контроллером тоже, скорее всего, нет. Есть идеи?
 
 
 
#19
13.12.2016 06:14:00
Вы тестировали из мобильного приложения UniFi, находясь в сети вашего мобильного оператора? Этот тест должен показать, работает ли внешний доступ корректно. Откройте приложение, нажмите на свой контроллер, затем включите настройку «Force WebRTC». После этого нажмите «Запустить» на сайте и посмотрите, что произойдет.

Когда вы проводили другие тесты, находилось ли устройство, с которого вы тестировали, вне вашего файрвола, или вы пытались сделать обратное подключение через файрвол?

Грегг
 
 
 
#20
12.12.2016 21:01:00
Ты можешь подключиться к контроллеру demo.ubnt.com?
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)