Dhcp guarding unifi что это
Решено В UniFi проблемы с DHCP
Bull-IT
участник
Имеем. Контроллер CloudKey Gen2+, 2 точки UAP-AC-Pro и 2 точки UAP (с EOL’ом), всё это питается и коммутируется коммутатором US-16-150W. Этот коммутатор аплинком соединен с CISCO-коммутатором на 48 портов, где крутятся всё остальное и каскадом сервера. У всего прошивки последние возможные, кроме коммутатора ( у него 5.11.0.11599 – не знаю обновлять или нет). DHCP сервер крутится на Windows Server 2012 R2.
Проблема. Некоторые клиенты не могут получить IP адрес по DHCP. Все танцы на клиенте (сброс IPconfig, отключение/включение wi-fi адаптера, переключение на другую сеть и обратно, ни дают ни какого результата). При этом к гостевой wi-fi сети управляемой тем же контроллером подключаются все дружно и без никаких проблем. Проблема только с рабочей wi-fi-сетью почему-то. На некоторых компах иногда проблема пропадает, но есть 5-6 компов стойких в этой проблеме.
Не пойму что-то с настройками у меня что ли? Вот скриншоты всех настроек вроде бы:
Настройки LAN (виртуальных сетей нет).
Настройки Wi-Fi рабочей сети:
Сам контроллер тоже регистрирует эти проблемы. На клиентах в журнале операционки стандартная ошибка не удалось разрешить DNS за отведенное время и не удалось получить настройки сети за отведенное время.
Что пробовал делать:
1) Посмотрел в ssh в настройках коммутатора отключен ли dhcp_snoop
В /tmp/system.cfg параметр switch.dhcp_snoop.status=disabled
Вложения
workubnt
знающий
Uplink тоже отключите.
Гляньте потом что будет.
Dns и dhcp вечная проблема.
GriSky
участник
Bull-IT
участник
По совету @GriSky сравнил настройки гостевой и рабочей сетей, и разница была только в PMF – у рабочей было optional, у гостевой disabled. Так что есть надежда что может быть проблема именно в этом механизме. В рабочей пока только отключил PMF, будем посмотреть.
Bull-IT
участник
Отключение PMF не помогло. Сейчас отключил Uplink Connectivity Monitor, будем смотреть, но надежды мало. Есть какие-то еще идеи?
Заметил интересную особенность, когда wi-fi адаптер на клиенте получает не правильный IP-адрес (169. ), он отключается физически (прям пропадает из сетевых подключений в Центре управления сетями Windows’a), потом сам быстро включается, и соответственно пытается снова получить IP-адрес, это не помогает. В журнале Windows об этом пишет примерно так: «Обнаружено что на таком-то интерфейсе получена не корректная конфигурация сети, предпринята попытка исправить ситуацию». Может быть кто-то знает какая сетевая служба или механизм провоцирует такое поведение Windows’a. Может это подскажет какие- галочки снять в настройках сети.
И еще становится очевидно, что это какая-то проблема с несовместимостью с некоторыми видами сетевых карт. Вставил Wi-fI свисток в этот же ноут, и всё взлетело без всяких проблем, и летает уже неделю. Вытаскиваешь свисток, подключаешься встроенным wi-fi-интерфейсом – всё сразу плохо. Откаты на старые и альтернативные драйвера, танцы с бубнами в настройках адаптера (в диспетчере устройств) ничего не дают. Переход на 2G принудительно, и на 5G принудительно – тоже ничего. Если это был бы один ноут, то я бы даже не думал на сеть. Но это 5-6 клиентов стабильных, и 3-4 с плавающей такой же ошибкой (то возьмет по DHCP всё как нужно, то не возьмет). Ну и то, что к гостевому Wi-Fi все подключаются без проблем, а к рабочей сети такая шляпа – тоже наводит на мысль что всё таки собака порылась в сети Wi-Fi, а не на стороне клиентов.
Обзор Ubiquity UniFi Security Gateway
Ближайшие
тренинги Mikrotik
Места
проведения
г. Санкт-Петербург, Крестовский остров, Северная дорога, дом 12.
г. Санкт-Петербург, ст. м. «Приморская»,
ул. Одоевского, д. 24 к. 1, 2 этаж
Обзор UniFi Security Gateway (USG). Первичная настройка и подключение маршрутизатора Ubiquity UniFi Security Gateway.
UniFi Security Gateway
UniFi Security Gateway — младшая модель маршрутизаторов линейки UniFi, созданная специально для использования в составе единой системы Ubiquity UniFi. Предназначена для использования в качестве пограничного маршрутизатора в сети UniFi или любой другой TCP/IP сети.
Основные возможные функции устройства:
Внутри устройства находится высокопроизводительный двухъядерный процессор с тактовой частотой 500 MHz и аппаратным ускорением обработки пакетов, которая обеспечивает быстродействие до 1 миллиона пакетов в секунду.
Данный факт позволяет нам отнести UniFi Security Gateway (USG) к оборудованию Enterprise-уровня. USG сочетает в себе высокую производительность и отличное соотношение «цена/качество». В этом обзоре рассмотрим особенности этой модели.
Комплект поставки и внешний вид Unifi USG
USG поставляется в фирменной небольшой коробке:
Комплект поставки включает в себя:
USG исполнен в металлическом корпусе небольших размеров: 484 x 44 x 164mm. На передней панели расположены интерфейсы Ethernet, причем последний из них может работать как в WAN режиме, так и в режиме LAN.
При использовании последнего порта в режиме WAN, можно настроить резервирование канала связи без лишних сложностей. Достаточно перевести порт в режим WAN и настроить параметры резервного подключения.
Также на передней панели присутствуют консольный порт для управления, кнопка reset для сброса конфигурации к заводским настройкам:
По бокам у модели расположены вентиляционные отверстия для эффективного охлаждения:
Снизу у USG расположены удобные противоскользящие ножки, а также специальные отверстия для монтажа на вертикальную поверхность. Примечательно, что эти отверстия имеют защитный материал с внутренней стороны, что позволяет предотвратить попадание пыли и других предметов внутрь устройства.
Вариант крепления маршрутизатора на вертикальную поверхность:
Пример использование USG в составе единой системы UniFi:
USG поддерживает работу с V-LAN для повышения безопасности и управления сети передачи данных:
VPN сервер для безопасной коммуникации. Site-to-Site VPN сервер сможет обеспечить шифрацию данных отправленных через Интернет. Доступны следующие типы VPN: PPTP, OVPN, IPsec.
Технические характеристики и параметры
Dual-Core 500 MHz, с аппаратным
ускорением пакетной обработки
Packet Size: 64 Bytes
Packet Size: 512 Bytes or Larger
3 Gbps (Line Rate)
Первое подключение и настройка Unifi Security Gateway
Как подключить Unifi Security Gateway?
Для подключения и настройки USG необходимо иметь контроллер UniFi в вашей сети, через который можно управлять этой моделью роутера. При желании можно подключить маршрутизатор без использования контроллера UniFi, но функционал будет сильно ограничен.
Фактически без контролера UniFi можно настроить WAN порт на различные режимы работы: статический IP, авто конфигурирование порта (DHCP) или PPPoE подключение к провайдеру. Произвести базовую настройку DHCP сервера и параметры порта LAN.
Для этого необходимо подключиться к порту LAN патчкородом, убедиться в корректном получении параметров от USG. Ввести в адресную строку любого браузера:
https:\\192.168.1.1
login – ubnt
password-ubnt
Для получения доступа к расширенным функциям роутера, необходимо подключиться к вашему контроллеру UniFi и ввести USG под его управление:
После этого будут доступны все основные функции конфигурации портов:
Настройки фаервола и маршрутизации:
Настройки сети и VPN-функций:
Тестирование переключения на резервного провайдера
Переключение с основного канала на резервный и обратно в контроллере UniFi на данный момент (версия контроллера 5.7.20) доступна в BETA режиме. Произведём реальное тестирование этой функции, т.к. быстрота, стабильность и надежность этого функционала очень важна в некоторых ситуациях.
На скриншоте представлена работа данной функции. Как видно, при переключении произошла потеря всего нескольких пакетов:
Плюсы и минусы Unifi USG
Подводя итоги обзора можно отметить плюсы данного устройства:
Unifi Security Gateway выглядит дороговато для домашних решений, но немного переплатив вы получите действительно качественное решение для дома. Также маршрутизатор будет оптимален для средних и малых групп пользователей, для которых будет достаточен базовый функционал USG.
Производительность модели действительно впечатляет — мощный процессор, большой объем оперативной памяти без труда перекроют задачи небольших и средних офисов.
Отличный дизайн, высокое качество делают USG превосходным выбором в качестве роутера для дома или офиса.
Вам помогла эта статья?
Приглашаем пройти обучение в нашем тренинг-центре и научиться настраивать оборудование MikroTik на профессиональном уровне! Узнайте расписание ближайших курсов и бронируйте место!
ОБЗОР-ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ ПО НАСТРОЙКЕ СЕТИ ПРЕДПРИЯТИЯ НА ОСНОВЕ ОБОРУДОВАНИЯ UBIQUITI NETWORKS UNIFI®. Часть 5. Настройка проводной сети и индивидуальные настройки маршрутизатора UniFi Security Gateway и коммутатора UniFi Switch.
Сетевая система UniFi позиционируется как ‘Software-Defined Networking (SDN) platform’ — программная платформа управления всеми сетевыми устройствами в различных локациях из единого интерфейса. При использовании сетевого оборудования линейки UniFi все настройки системы, начиная от центрального маршрутизатора и заканчивая проводными и беспроводными клиентами сети, могут выполняться централизованно.
В последних версиях контроллера UniFi большая часть сетевых настоек выполняется в виде заранее определенных сетей и профилей. Созданные профили могут быть применены на уровне маршрутизатора UniFi Security Gateway и коммутаторов UniFi Switch.
Создание и настройка корпоративных и гостевых сетей.
Рисунок 1. Список сетей.
Рисунок 2. Создание новой корпоративной сети с VLAN ID 10.
Рисунок 3. Создание новой корпоративной сети. Дополнительные настройки.
Новая гостевая сеть была создана с VLAN ID 20, адресацией 192.168.4.1/24, также был настроен DHCP сервер. В качестве основного и дополнительного DNS сервера для клиентов сети использовался публичный сервис Яндекс.DNS «Семейный».
Рисунок 4. Создание новой гостевой сети с VLAN ID 10.
Первоначально, была проверена новой сети для беспроводных клиентов. Базовые настройки гостевых беспроводных сетей уже были рассмотрены в 4 части обзора-инструкции, но они в большей степени подходят для небольших сетей. Для более крупных организаций с большим числом клиентов желательно проводить разделение именно на базе создания отдельных сетей со своей адресацией и дополнительными правилами ограничения доступа. Для новой Wi-Fi сети были применены стандартные настройки, и ей был указан VLAN ID 20, соответствующий новой гостевой сети. При этом чекбокс гостевой политики отдельно не устанавливался.
Рисунок 5. Настройка VLAN ID для беспроводной сети.
При подключении беспроводного клиента к новой беспроводной сети к нему были применены все стандартные ограничения (доступ по ваучеру, ограничение доступа) для гостевой сети полностью аналогичные тем, что используются при включении опции «Guest Policy».
Рисунок 6. Активация ваучера гостевой сети.
При этом клиент получил сетевой адрес уже не из основного пула (LAN), а из адресного пространства новой гостевой сети. При локальном просмотре сетевых данных видно, что клиент корректно получил все сетевые настройки, включая применение «Семейного» Яндекс.DNS, обеспечивающего безопасный доступ к ресурсам Интернет с фильтрацией нежелательного контента.
Рисунок 7. Информация о клиенте гостевой сети VLAN 20.
Рисунок 8. Сетевые данные клиента гостевой сети VLAN 20.
Сетевое сканирование при помощи мобильного приложения Ubiquiti WiFiMAN показало, что изоляция клиентских устройств работает корректно. Для примера приведён экран сканирования при подключении беспроводного клиента к корпоративной Wi-Fi сети с видимостью всех сетевых устройств.
Рисунок 9. Сетевое обнаружение с клиента гостевой сети.
Рисунок 10. Сетевое обнаружение с клиента корпоративной сети.
На следующем этапе были протестированы возможности различных сетей при подключении «проводного» клиента (ноутбука) к коммутатору UniFi Switch. При создании новых корпоративной и гостевой сети были автоматически созданы два новых профиля для портов коммутаторов.
Рисунок 11. Профили портов для коммутаторов.
Профиль может быть присвоен на уровне индивидуального порта коммутатора. Первоначально, порту, к которому был подключен компьютер, был присвоен профиль новой корпоративной сети.
Рисунок 12. Присвоение профиля порту коммутатора UniFi Switch.
Из данных о клиенте в контроллере UniFi и в локальных сетевых данных видно, что клиент получил корректный сетевой адрес и настройки DNS.
Рисунок 13. Данные о клиенте при подключении к корпоративной сети VLAN 10.
Рисунок 14. Сетевые данные клиента корпоративной сети VLAN 10.
При присвоении физическому порту профиля гостевой сети «проводной» клиент получил требуемый адрес и настройки DNS, и к нему была применена та же гостевая политика, как и к беспроводным клиентам, включая ваучерную авторизацию при доступе в Интернет.
Рисунок 15. Присвоение профиля гостевой сети VLAN 20 порту коммутатора UniFi Switch, данные о клиенте.
Рисунок 16. Экран авторизации ваучером при подключении к проводной сети. Сетевые данные клиента.
Настройка других типов сетей. Настройки маршрутизации и межсетевого экрана.
Маршрутизаторы семейства USG поддерживают создание до двух WAN сети для подключения к провайдерам услуг Интернета. Для трехпортового USG, используемого в данном обзоре, в качестве второго порта может быть назначен порт LAN2/WAN2, ранее маркировавшийся как VOIP. При создании нового подключения может быть выбран тип (статический или динамический адрес или PPPoE) и назначение подключения. Вторая сеть может быть использована для обеспечения отказоустойчивости и задействоваться только при отключении основного канала, либо применяться для балансировки нагрузки. На текущий момент главным ограничением для второго WAN подключения является то, что в интерфейсе контроллера настройка проброса портов касается только основного канала. Для настройки проброса портов резервного канала требуется выполнять редактирование конфигурации USG через SSH.
Рисунок 17. Создание новой WAN сети.
Сеть VLAN Only, как уже упоминалось, может использоваться для создания изолированных сегментов сети. Также такой тип сети при использовании маршрутизатора стороннего производителя (совместно с точками доступа и коммутаторами UniFi).
Рисунок 18. Создание новой VLAN Only сети.
Сеть Remote User VPN. Предназначена для обслуживания клиентов, подключающихся удаленно через Интернет. На шлюзе USG создается PPTP или L2TP VPN сервер для подключения внешних клиентов (например, сотрудников работающих удаленно).
Рисунок 19. Создание VPN сервера для подключения внешних клиентов.
Сеть Site-to Site VPN предназначена для объединения сетей филиалов организации через Интернет. Первый вариант подключения Auto IPsec VTI позволяет максимально просто связать два маршрутизатора USG при условии, что они находятся в различных сайтах одного и того же контроллера UniFi. Ручной вариант создания IPSec или OpenVPN позволяет создать VPN тоннель до маршрутизаторов USG (управляемых различными контроллерами), EdgeRouter или любого другого производителя (с поддержкой соответствующих стандартов).
Рисунок 20. Создание сети Site-to Site VPN.
Рисунок 21. Настройка сети типа VPN Client.
Настройки статической сетевой маршрутизации и межсетевого экрана сходны с теми, что используются в любых других маршрутизаторах.
Рисунок 22. Настройка статической маршрутизации.
Межсетевой экран позволяет создавать правила для взаимодействия сетей разного типа. При создании правила важно выбрать нужный тип сети в списке и только после этого приступать к созданию и редактированию правил. В данном тесте было создано правило, ограничивающее взаимодействие между двумя сетями корпоративного типа. По умолчанию, роутер USG обеспечивает прямую маршрутизацию между такими сетями. На практике часто бывает целесообразно создать более изолированные сети, не прибегая при этом к созданию гостевых сетей. Для блокирования трафика между ранее созданными корпоративными сетями LAN и VLAN10 было создано правило «LAN IN» с действием «Drop» (или «Reject») для всего межсетевого трафика.
Рисунок 23. Создание нового правила межсетевого экрана, тип правила.
Рисунок 24. Создание нового правила межсетевого экрана, редактирование правила.
Интерфейс контроллера UniFi позволяет создать правила проброса портов для публикации внутренних сетевых сервисов (например, почтового или WEB сервера). Однако, такое правило будет действовать только для основного WAN подключения. Правила проброса для резервного WAN2 должны создаваться вручную по инструкции https://help.ubnt.com/hc/en-us/articles/235723207-UniFi-USG-Port-Forward-Port-Forwarding-Configuration-and-Troubleshooting#2.2.
Рисунок 25. Создание правила проброса портов.
Интересной особенностью системы UniFi является возможность фильтрации трафика по географическому расположению. Фильтр находится в стадии бета-теста и его работа предельно проста. Можно выбрать страну происхождения и либо запретить, либо разрешить входящий или исходящий трафик. К такой фильтрации следует относиться с осторожностью. Например, при блокировании трафика из США теряется доступ к серверам разработчика Ubiquiti.
Для чего может использоваться такая фильтрация? Например, для блокирования масштабной сетевой атаки из конкретной страны (например, спам-атаки). Для ограничения доступа к внутренним опубликованным сервисам (при блокировании входящего трафика). В любом случае перед регулярным применением таких настроек требуется тщательное тестирование. Также ограничением GeoIP фильтрации является требование использовать аппаратную обработку Hardware Offloading. Это значит, что она не совместима с опциями Threat Management и Smart Queues.
Рисунок 26. Фильтрация адресов по географическому расположению.
Локальные настройки маршрутизатора USG.
В отличие от точек доступа и коммутаторов UniFi, «локальные» настройки маршрутизатора USG минимальны.
Закладка обзора состояния устройства позволяет получить информацию о модели устройства, версии прошивки, адресе и времени бесперебойной работы. Там же можно получить данные о подключении к «внешней» сети WAN, включая адрес, скорость подключения, объем переданных и полученных данных.
Рисунок 27. Состояние устройства USG.
Рисунок 28. Состояние WAN сети.
Закладка состояния внутренней сети позволяет получить данные о всех созданных сетях, объёме данных, скорости и состоянии портов.
Рисунок 28. Состояние WAN сети.
Рисунок 29. Состояние LAN сетей.
Закладка состояния портов маршрутизатора наглядно показывает статус каждого порта. При необходимости для портов можно принудительно указать режим работы.
Рисунок 30. Состояние портов маршрутизатора USG.
Рисунок 31. Конфигурация интерфейсов USG.
В пункте общей конфигурации можно изменить отображаемое в контроллере название устройства и определить поведение LED индикатора.
Рисунок 32. Общая конфигурация USG.
В настройках сервисов доступна настройка отправки информации по SNMP.
Рисунок 33. Настройка сервисов.
Дополнительные настройки позволяют определить максимальный размер сегмента передаваемых данных MSS (дефолтное значение 1412), время существования кэша ARP, возможность аппаратной обработки трафика Hardware Offloading (не совместима с опциями Threat Management и Smart Queues). Опции «Enable offload scheduler» и «Enable offload layer 2 blocking» предназначены для аппаратного ограничения скорости для групп пользователей и блокировки хостов. Опция «Enable LLDP» включает возможность использования протокола Link Layer Discovery Protocol.
Рисунок 34. Дополнительные настройки маршрутизатора.
Пункт управления устройством позволяет загрузить специально выбранную версию прошивки (например, тестовую), принудительно отправить настройки на маршрутизатор (опция Force Provision), «забыть» устройство (после перезагрузки маршрутизатор будет переведен в «заводское» состояние, а также получить файл текущего состояния USG, который может быть отправлен в службу поддержки при возникновении каких либо неполадок.
Рисунок 35. Управление устройством.
Закладка «Обычные настройки» (Common Settings) содержит ссылки на пункты настройки маршрутизации и межсетевого экрана, сервисов и сетей на уровне контроллера UniFi.
Рисунок 36. «Обычные настройки».
Последняя закладка – экран статистики – показывает графики использования маршрутизатором процессорной мощности и памяти.
Рисунок 37. Экран статистики по устройству.
Локальные настройки маршрутизатора USG.
Как уже упоминалось, порты коммутатора управляются заранее созданными профилями. Профили для сетей создаются автоматически. Если необходимо использовать управление PoE, то соответствующие профили нужно создать вручную. Доступны варианты с полным отключением PoE, 24 В пассивное PoE, PoE+/PoE++ (802.3 af/at) и Passthrough (применимо для коммутаторов US-8). Любые настройки порта могут быть в дальнейшем изменены в индивидуальных настройках коммутатора.
Рисунок 38. Создание профилей портов коммутатора с PoE питанием.
При переходе к окну настроек устройства первая закладка показывает текущий статус коммутатора. Помимо обычной информации о версии прошивки, адресе и т.д. очень важна информация о потребляемой мощности для подключенных устройств PoE и температуре.
Рисунок 39. Общий статус коммутатора.
Также как и для беспроводных точек доступа, коммутаторы UniFi отображают информацию о топологии сети, включая вышестоящие и нижестоящие устройства. Данная топология также отображается на карте сети.
Рисунок 40. Вышестоящие подключения устройств UniFi к коммутатору.
Рисунок 41. Нижестоящие подключения устройств UniFi к коммутатору.
При прямом подключении клиентских устройств в порты коммутатора, список таких устройств отображается в закладке «Clients». Из данной закладки можно перейти к разделу клиентских устройств и параметрам индивидуальных клиентов.
Рисунок 42. Подключенные клиенты.
На закладке информации о портах отображается активность порта, скорость соединения и потребляемая на порту мощность PoE. Более подробная информация, включая трафик и название примененного профиля доступна во всплывающем информационном окне при наведении курсора на иконку порта.
Рисунок 43. Статус портов коммутатора.
Базовая настройка порта позволяет изменить его отображаемое имя, применить определенный профиль и включить MAC-фильтр.
Рисунок 44. Настройка портов коммутатора.
Каждому порту могут быть принудительно заданы определенные параметры, перезаписывающие параметры заданные профилем.
Рисунок 45. Принудительная индивидуальная настройка портов коммутатора.
В общих настройках коммутатора можно задать определенное отображаемое имя и определить параметры работы LED индикатора.
Рисунок 46. Конфигурация коммутатора – общие настройки.
В настройках сервисов задается управляющий VLAN и ряд дополнительных параметров, включая управление STP/RSTP.
Рисунок 47. Конфигурация коммутатора – сервисы.
Сетевые настройки позволяют задать сетевой адрес самого коммутатора. Так же, как и для точек доступа, доступно динамическое присвоение адреса или статическая резервация.
Рисунок 48. Конфигурация коммутатора – сеть.
В разделе управления устройством можно скопировать конфигурацию и применить ее к другому коммутатору того же типа, загрузить свою версию прошивки (например, бета), принудительно отправить настройки на маршрутизатор (опция Force Provision), «забыть» устройство или скачать информационный файл для службы технической поддержки.
Рисунок 49. Конфигурация коммутатора – управление устройством.
Пункт «Common Settings» содержит ссылку на настройку профилей портов коммутатора.
Рисунок 50. Конфигурация коммутатора – «Обычные настройки».
В пункте «Инструменты» доступна возможность подключения к терминалу (аналогично прямому подключению по протоколу SSH).
Рисунок 51. Инструменты управления.
Наконец, закладка статистики отображает график загрузки процессора и оперативной памяти устройства.
Рисунок 52. Статистические данные о коммутаторе.