Toon posts:

[Unifi] Heel vaag USG-PRO firewall probleem

Pagina: 1
Acties:

  • Urk
  • Registratie: Maart 2000
  • Laatst online: 27-09 00:08
Ik heb een Unifi netwerk met daarin 1 USG-PRO, 1 x Unifi Gen2 switch en een Unifi-AP-HD.
Er zijn 2 LAN netwerken:
192.168.45.x (geen VLAN)
192.168.46.x (VLAN 46)

Ik heb een firewall regel in de Unifi controller ingesteld zodat de beide LAN netwerken van elkaar geisoleerd zijn. Toch wil ik van netwerk 192.168.46.x toegang toestaan tot enkele IP's op netwerk 192.168.45.x.
Als ik hier een regel voor instel werkt dat prima voor een printer en iDrac controller. Zodra ik echter een IP van een Windows Server gebruik op het 192.168.45.x netwerk dan krijg ik geen ping terug.

Nu zou je natuurlijk gelijk zeggen: dat ligt aan de Windows Server firewall, maar nee.... 8)7
In de firewall logging op de Windows Server heb ik ingesteld dat hij dropped packets moet loggen, daar zie ik dan echter niks gelogd worden dat er iets wordt geblokkeerd. En ook als ik de Windows Server firewall tijdelijk even uitzet krijg ik geen verbinding.
Dat is toch heel vreemd?? Ik snap hier werkelijk niks van.. |:( zeker omdat bepaalde IP's wel werken...

Edit: ook als ik de isolate firewall regel disable kan ik nog steeds niet pingen van bijv een Windows 10 client op het 192.168.46.x netwerk naar bijv IP 192.168.45.51 (de betreffende windows server) maar ook 192.168.45.50 (een andere windows server) geen dan geen reactie. :'(
Ik gebruik Unifi controller versie 5.13.29

Edit2: ook Auto-Optimize network uitgezet maar biedt geen verandering
En zodra ik op het 192.168.45.x netwerk zit werkt het pingen prima, dus niet bijv dat ICMP uitstaat oid

Edit3: Zojuist een upgrade gedaan naar laatste versie van Unifi controller 5.13.32 aangezien in de changelog de volgende fix stond en ik misschien dacht dat dat er iets mee te maken kon hebben:
Fix Port Forward Accounting Rules to not override User-Defined Rules.
Maar helaas, beid ook geen verandering

[Voor 30% gewijzigd door Urk op 20-06-2020 12:53]


  • Kaalus
  • Registratie: Januari 2010
  • Niet online
Heb je al eens getest met de Windows firewall uit? Als Windows z'n netwerk locatie niet op privé heeft staan krijg je niet of niet altijd een ping reply.

  • Urk
  • Registratie: Maart 2000
  • Laatst online: 27-09 00:08
Kaalus schreef op zaterdag 20 juni 2020 @ 12:11:
Heb je al eens getest met de Windows firewall uit? Als Windows z'n netwerk locatie niet op privé heeft staan krijg je niet of niet altijd een ping reply.
Jazeker ;) , hierboven al genoemd
En ook als ik de Windows Server firewall tijdelijk even uitzet krijg ik geen verbinding.

  • BlaTieBla
  • Registratie: November 2000
  • Laatst online: 15:14

BlaTieBla

Vloeken En Raak Schieten

Vanuit de windows server vanuit hetzelfde subnet de server pingen? werkt dat wel?
En vanuit de windows server pingen naar de gateway op je netwerk (192.168.45.1 of 254 (gok ik))?

leica - zeiss - fuji - apple | PSN = Sh4m1n0


  • Urk
  • Registratie: Maart 2000
  • Laatst online: 27-09 00:08
BlaTieBla schreef op zaterdag 20 juni 2020 @ 13:27:
Vanuit de windows server vanuit hetzelfde subnet de server pingen? werkt dat wel?
Dank voor het meedenken _/-\o_
De Windows Server heeft IP 192.168.45.51, dus snap welke je daarmee bedoeld maar welke host bedoel je met het 2e woordje server?
Vanaf de Windows Server kan ik niet pingen naar de betreffende Windows 10 client op IP 192.168.46.106
BlaTieBla schreef op zaterdag 20 juni 2020 @ 13:27:
[...]
En vanuit de windows server pingen naar de gateway op je netwerk (192.168.45.1 of 254 (gok ik))?
Ja, vanaf de Windows Servers kan ik gewoon op beide servers 192.168.45.1 (USG-PRO idd) pingen. Maar de servers zitten op hetzelfde subnet.

[Voor 9% gewijzigd door Urk op 20-06-2020 13:38]


  • Urk
  • Registratie: Maart 2000
  • Laatst online: 27-09 00:08
Ik kom er nu ook achter dat ik bijv de printer op IP 192.168.45.10 wel kan pingen vanaf een Windows 10 client op VLAN 46 en dus subnet 192.168.46.x en IP 192.168.46.106. Echter krijg ik de webinterface op poort 80 niet te zien, terwijl als ik op subnet 192.168.45.x zit wel....
Edit: t wordt steeds gekker: de webinterface van een iDrac op 192.168.45.30 krijg ik wel te zien :?

[Voor 15% gewijzigd door Urk op 20-06-2020 14:11]


Acties:
  • 0Henk 'm!

  • BlaTieBla
  • Registratie: November 2000
  • Laatst online: 15:14

BlaTieBla

Vloeken En Raak Schieten

Urk schreef op zaterdag 20 juni 2020 @ 13:35:
[...]

Dank voor het meedenken _/-\o_
De Windows Server heeft IP 192.168.45.51, dus snap welke je daarmee bedoeld maar welke host bedoel je met het 2e woordje server?[...]
Ik bedoelde de gateway :)

leica - zeiss - fuji - apple | PSN = Sh4m1n0


Acties:
  • 0Henk 'm!

  • Urk
  • Registratie: Maart 2000
  • Laatst online: 27-09 00:08
Aha, ja de Windows Server kan gewoon de USG-PRO Gateway op IP 192.168.45.1 pingen. Andere apparaten doen 't ook gewoon, dat is 't gekke. Alleen de Windows Servers reageren niet.... 😭😳

  • EricNL
  • Registratie: April 2009
  • Laatst online: 01-10 13:16
Zet eens een tcpdump aan op de USG-PRO en WireShark op je Windows Server. Filter op "ICMP" en check allereerst eens of er daadwerkelijk verkeer de USG en Server in komt.

Voor je USG:
1. Log in met SSH op de USG
2. Voer uit: sudo tcpdump -nni eth1 icmp and host <IP van waar je de Ping uitvoert> (ervanuit gaande dat eth1 de LAN interface is op je Pro)

[Voor 35% gewijzigd door EricNL op 22-06-2020 08:57]

My PC  Steam Profile  PSN: AfcaEricNL


  • Urk
  • Registratie: Maart 2000
  • Laatst online: 27-09 00:08
Urk schreef op zaterdag 20 juni 2020 @ 14:09:
Ik kom er nu ook achter dat ik bijv de printer op IP 192.168.45.10 wel kan pingen vanaf een Windows 10 client op VLAN 46 en dus subnet 192.168.46.x en IP 192.168.46.106. Echter krijg ik de webinterface op poort 80 niet te zien, terwijl als ik op subnet 192.168.45.x zit wel....
Edit: t wordt steeds gekker: de webinterface van een iDrac op 192.168.45.30 krijg ik wel te zien :?
Dit deeltje is opgelost, het bleek dat het Gateway IP op de printer op IP 192.168.45.10 niet correct was. Dit gecorrigeerd en nu reageert deze ook. Op de servers staat te gateway echter wel op 192.168.45.1

  • To_Tall
  • Registratie: September 2004
  • Laatst online: 15:13
Hoe zitten je firewall rules..

Staat van uit het VLAN 192.168.46.1/24 wel ICMP toe.. Dit is een aparte firewall rule die boven je drop all moet komen te staan.

Daarnaast kan ICMP geblokeerd worden maar ander verkeer kan je toe laten staan.
Post je FW rules eens..

[Voor 4% gewijzigd door To_Tall op 25-06-2020 00:26]

A Soldiers manual and a pair of boots.

Pagina: 1



Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee