Me4huk
14-11-2018, 09:54
Добрый день, уважаемые знатоки. Пожалуйста, помогите решить проблему.
Исходные: есть сеточка, в качестве шлюза FortiGate 61E, сама сеть на коммутаторах HP 2530-24G (J9776A). Все жили в подсети 192.168.0.*, там был один-единственный VLAN 100 в качестве рабочего. Решили организовать WiFi, чтобы раздать корпоративный интернет мобильным устройствам сотрудников. Создал для этого отдельный VLAN 111, на фортигейте завёл его в DMZ-порт. На порту поднят DHCP-сервер, раздаёт адреса из подсети 192.168.11.*. В качестве шлюза (порт DMZ) выступает 192.168.11.1, диапазон адресов для DHCP с 192.168.11.2 до 192.168.11.254. Подключаем сюда WiFi-оборудование Ubiquiti Unifi: аппаратный сервер Cloud Key и точки доступа. Всё оборудование получает адреса из этой подсети и отлично друг друга видит, в Интернет доступ есть, в облачной консоли Unifi оно видно и управляется. Однако при попытке подключения беспроводных клиентов они не могут получить IP-адреса. Захват пакетов с DMZ-порта на фортигейте показывает следующее: с беспроводными клиентами идёт постоянный обмен DHCPDiscover-DHCPOffer, без второй стадии DHCPRequest-DHCPAck.
Я попробовал подключить WiFi-оборудование к старому роутеру TPLink Archer C59. Там всё работает без вопросов. При подключении этого роутера к DMZ на фортигейте (так, чтобы WiFi-сеть получала адреса через TPLink) тоже всё работает нормально. Получается, проблема либо в конфигурации коммутаторов HP 2530, либо в настройке порта на FortiGate 61E (хотя ещё большой вопрос, что там можно умудриться настроить неправильно). Время лизинга DHCP на фортигейте прописал в 12 часов, но это не помогло, да и вообще дело явно не в переполнении пула адресов — он ведь только что поднят. Попробовал на том из коммутаторов, где всё подключено, в VLAN 111 прописать ip helper-address 192.168.11.1 — без разницы.
В прикреплённом архиве — конфиг коммутатора HP 2530, к которому пробовал подключать оборудование WiFi, а также выгрузка захвата пакетов с DMZ-порта на фортигейте. Заранее благодарен за участие в решении этой проблемы.
Исходные: есть сеточка, в качестве шлюза FortiGate 61E, сама сеть на коммутаторах HP 2530-24G (J9776A). Все жили в подсети 192.168.0.*, там был один-единственный VLAN 100 в качестве рабочего. Решили организовать WiFi, чтобы раздать корпоративный интернет мобильным устройствам сотрудников. Создал для этого отдельный VLAN 111, на фортигейте завёл его в DMZ-порт. На порту поднят DHCP-сервер, раздаёт адреса из подсети 192.168.11.*. В качестве шлюза (порт DMZ) выступает 192.168.11.1, диапазон адресов для DHCP с 192.168.11.2 до 192.168.11.254. Подключаем сюда WiFi-оборудование Ubiquiti Unifi: аппаратный сервер Cloud Key и точки доступа. Всё оборудование получает адреса из этой подсети и отлично друг друга видит, в Интернет доступ есть, в облачной консоли Unifi оно видно и управляется. Однако при попытке подключения беспроводных клиентов они не могут получить IP-адреса. Захват пакетов с DMZ-порта на фортигейте показывает следующее: с беспроводными клиентами идёт постоянный обмен DHCPDiscover-DHCPOffer, без второй стадии DHCPRequest-DHCPAck.
Я попробовал подключить WiFi-оборудование к старому роутеру TPLink Archer C59. Там всё работает без вопросов. При подключении этого роутера к DMZ на фортигейте (так, чтобы WiFi-сеть получала адреса через TPLink) тоже всё работает нормально. Получается, проблема либо в конфигурации коммутаторов HP 2530, либо в настройке порта на FortiGate 61E (хотя ещё большой вопрос, что там можно умудриться настроить неправильно). Время лизинга DHCP на фортигейте прописал в 12 часов, но это не помогло, да и вообще дело явно не в переполнении пула адресов — он ведь только что поднят. Попробовал на том из коммутаторов, где всё подключено, в VLAN 111 прописать ip helper-address 192.168.11.1 — без разницы.
В прикреплённом архиве — конфиг коммутатора HP 2530, к которому пробовал подключать оборудование WiFi, а также выгрузка захвата пакетов с DMZ-порта на фортигейте. Заранее благодарен за участие в решении этой проблемы.