Pokonany przez własny firewall

To miała być rutynowa “akcja”. W miejscu gdzie instalowałem komplet sprzętu i oprogramowania od Ubiquiti (switch, router, nadajniki i CloudKey) coś się wysypało i zestaw działał lokalnie, ale przestał komunikować się z centralnym zarządcą. Skoro więc komunikat głosił, że jest tam stare oprogramowanie to czas na aktualizację. Proste? Niby tak, ale przez własne gapiostwo z pół godzinnej akcji zrobiło się trzy godziny analizowania starego niedopatrzenia.

W zasadzie wszystko szło jak po maśle: na początek do aktualizacji poszedł CloudKey dzięki któremu nie trzeba mieć osobnej stacji z oprogramowaniem zarządzającym sprzętem. Po restarcie i przeładowaniu ekranu widziałem wszystkie nadajniki, przełącznik i router prawidłowo sparowane z oprogramowaniem. Czas na resztę sprzęciwa. Nadajniki (3 szt.) udało się zaktualizować w miarę sprawnie, podobnie przełącznik i na końcu router. Niestety po aktualizacji tego ostatniego niby Internet był, a jednak go nie było. Pingowanie jakiejkolwiek domeny dawał jedynie efekt w postaci rzeczywistego adresu IP, ale transferów brak. Traceroute zatrzymywał się na adresie routera. Problem więc albo w blokowaniu routera od strony dostawcy albo sam router. Niestety nie było jak dostać się na urządzenie brzegowe (login i hasło podobno gdzieś były zapisane), które prawidłowo przydzielało adres na WAN1 routera Ubiquiti.  Logi milczały jak zaklęte, a restarty całości też nie dawały pożądanego efektu (chociaż, jak wiadomo, restart rozwiązuje 90% problemów IT). Przeglądanie forów też nic nie dało więc powróciłem do ustawień urządzenia. Od adresacji LAN, WAN, DHCP, przez VLAN’y, DPI i znowu na logach skończywszy nie znalazłem nic co by mogło wycinać ruch. O jednej zakładce jednak zapomniałem: Firewall and Routing. No routing’u statycznego nie ustawiałem, ale pamiętam, że podczas montażu sprzętu zostałem poproszony o w wycięcie ruchu P2P oraz zablokowanie treści nieodpowiednich dla osób młodych. No to zaglądam do reguł firewall’a, a tam wisi sobie taka bida w trybie “enabled”, którą ostatnio zamiast wykasować po prostu dezaktywowałem. Widocznie po aktualizacji z “disabled” zrobiło się “enabled” i cały ruch z LAN do WAN trafiał na “Block”. Szybkie kasowanie reguły, zapis i przeładowanie ustawień i ….. DZIAŁA. 

Nauczka na przyszłość aby sprzątać po sobie, nawet jak się robi tylko testowe wpisy. No i warto też poświęcić te kilka minut na to, aby do każdego wpisu był opis. Pamięć jest zawodna i ostatnie co chcemy robić to przywracać całość do ustawień fabrycznych i konfigurować wszystko od nowa.