插入 Fortigate 30E 时无法连接管理型交换机

tag-icon tag-icon networking firewall dhcp switch fortigate
插入 Fortigate 30E 时无法连接管理型交换机

我刚刚购买了 UniFi US-8(8 端口托管型 PoE 交换机),正在尝试进行设置,但是无法让 UniFi 控制器看到该设备;控制器只是显示“未找到设备”。

我当前的网络设置是:

ISP 调制解调器/路由器 ( 192.168.0.1/24) -> Fortigate 30E ( 192.168.1.1/24) -> 台式机 ( 192.168.1.10/24)

UniFi 控制器安装在我的桌面上(192.168.1.10/24)。

如果我从等式中去掉 Fortigate 吃的:

  1. 重新配置我的 ISP 调制解调器/路由器以接入192.168.1.0/24网络
  2. 将交换机和我的台式机分别连接到调制解调器/路由器上的 LAN 端口

然后,我可以从我的桌面()联系(ping/ssh)交换机192.168.1.10/24,并且在我的桌面上运行的控制器可以看到该交换机,并且可以“采用”它。

但是,如果我将 Fortigate 门重新放入方程式中:

  1. 192.168.0.0/24网络上的 ISP 调制解调器/路由器
  2. 网络上的 Fortigate 30E 192.168.1.0/24(WAN 端口插入 ISP 路由器上的 LAN 端口)
  3. 台式机和交换机插入 Fortigate 上的 LAN 端口

我的桌面再也看不到交换机了。查看 Fortigate 中的设备清单,似乎交换机确实获得了 DHCP 租约192.168.1.12/24,但只有将笔记本电脑直接插入交换机并将笔记本电脑配置为联网时,我才能获得此地址192.168.1.0/24

Fortigate 是否会采取措施阻止流量流向交换机?如果是,我该怎么做才能允许流量流动?

作为参考,该命令的输出show system interface如下:

FWF30E********** # show system interface
config system interface
    edit "wan"
        set vdom "root"
        set ip 192.168.0.10 255.255.255.0
        set allowaccess ping https http fgfm
        set type physical
        set scan-botnet-connections block
        set role wan
        set snmp-index 1
    next
    edit "modem"
        set vdom "root"
        set mode pppoe
        set type physical
        set snmp-index 2
    next
    edit "ssl.root"
        set vdom "root"
        set type tunnel
        set alias "SSL VPN interface"
        set snmp-index 3
    next
    edit "wifi"
        set vdom "root"
        set type vap-switch
        set role lan
        set snmp-index 5
    next
    edit "guestwifi"
        set vdom "root"
        set ip 192.168.11.1 255.255.255.0
        set allowaccess ping https ssh http
        set type vap-switch
        set device-identification enable
        set fortiheartbeat enable
        set role lan
        set snmp-index 7
    next
    edit "internal"
        set vdom "root"
        set ip 192.168.1.1 255.255.255.0
        set allowaccess ping https ssh http fgfm capwap
        set broadcast-forward enable
        set type switch
        set device-identification enable
        set fortiheartbeat enable
        set role lan
        set snmp-index 6
    next
    edit "lan"
        set vdom "root"
        set type hard-switch
        set stp enable
        set role lan
        set snmp-index 4
    next
end

答案1

所以我认为我解决了这个问题——以下是我的笔记:

我注意到,如果我重新启动防火墙,在它完成启动之前不久,交换机就会开始适应。防火墙完成启动后,交换机就会失去连接。我也无法联系子网上的任何其他设备。

如果我从默认“内部”软件交换机的成员中删除“lan”,则交换机(仍默认为 192.168.1.20/24)会连接到我的桌面(我可以连接到 192.168.1.0/24 网络上的其他设备),但我会失去互联网连接。防火墙会自动创建一个名为“lan”的新硬件交换机接口,由所有 4 个物理 LAN 接口作为成员接口组成。

要从我的台式机重新连接到防火墙,我必须使用我的手机(位于 192.168.1.0/24 内部 wifi 网络上)登录到 192.168.1.99(防火墙的 IP),并将新的“lan”网关 IP 设置为 192.168.10.99/24,然后将我的计算机设置为位于新子网上(我将其设置为 192.168.10.10/24,网关为 192.168.10.99)。但是,现在由于我的台式机位于不同的子网上,我失去了与交换机的连接。

从我的桌面(192.168.10.10/24,网关 192.168.10.99),我在“IPv4 策略”中创建了一条新的防火墙规则,以允许所有从“lan”到“wan”的流量。这使我重新连接到互联网,但正如预期的那样,我无法 ping 它或 SSH 到交换机或 192.168.1.0/24 网络上的任何其他主机。我通过将桌面重新设置为 192.168.1.0/24 网络(网关 192.168.1.99)来确认这一点,这导致我的互联网中断,但我可以再次 ping/SSH 到该子网中的其他主机,并且交换机重新连接。

鉴于我知道如果交换机没有获得 DHCP 租约,则默认为 192.168.1.20/24,我为“lan”接口打开了 DHCP 服务器,最终为交换机分配了一个 IP,并连接到我的桌面。

现在,下一个问题是找出如何使“内部”接口上的设备(wifi 设备)与“局域网”接口上的设备(有线设备)进行通信。为此,我设置了 2 个 IPv4 策略:允许所有从“局域网”到“内部”的流量,并允许所有从“内部”到“局域网”的流量。

该解决方案实现了预期的结果,但我不确定它是否是最安全的方法(或“最佳”方法)。

相关内容