dagbra

"Сервер" - Giga KN-1011 IP 192.168.1.1 Прописан маршрут к ведомому Giga-II 192.168.20.1 через выделенный ей адрес 192.168.1.77 "Клиент" - Giga II. Версия ОС 2.16.D.12.0-11 IP 192.168.20.1 подключен через WISP к Giga KN-1011 и получила от неё адрес 192.168.1.77. В межсетевом экране настроены правила для TCP, UDP, IP, ICMP на интерфейсах "WISP" и "Домашняя сеть" пропускать все из 192.168.1.0/24 в 192.168.20.0/24 Нельзя попасть в WEB интерфейс со стороны "Сервера" - Giga KN-1011 на "Клиент" - Giga II по её адресу 192.168.20.1. При этом через адрес 192.168.1.77 все работает отлично. Через терминал не пробивается ни на 192.168.1.77, ни на 192.168.20.1 Если поменять соединение с WISP на провод, то после редактирования стат маршрута 192.168.20.1 ->-> 192.168.1.77 работает и через 192.168.20.1, и через 192.168.1.101 (при проводном соединение такой выдается Гигой KN-1011) Можно еще физически подключиться в сеть Giga II и заходить в её WEB интерфейс, или же интерфейс Giga KN-1011, все отлично работает. И самый важный момент теперь - если пропинговать с компа или с Enyware Giga KN-1011 адрес 192.168.20.1 то отклик мгновенный и после этого начинает работать и WEB интерфейс Giga II на адресе 192.168.20.1 и терминалом можно подключаться хоть к CLI, хоть к Entware. Если пинговать в начале 192.168.1.77, то это не помогает. Пробовал сбрасывать роутер к заводским настройкам, проверять все это на "чистой" 2.16.D.12.0-11, даунгрейдил до 2.16.D.12.0-9 - результат не менялся. При этом если воссоздать ровно эту же схему с Giga KN-1012 на месте GigaII, то такого трабла нет. Второй GigaII у меня нет, чтобы проверить аппаратная это проблема или программная...

При вашем варианте объединения сетей через L2TP/IPsec есть несколько не очевидных моментов. Первый момент - маршруты прописывать не нужно, так же как и правила межсетевого экрана. Всё необходимое создастся без вашего участия. И на этом шаге у вас заработает синий маршрут, от инициатора соединения к серверу. В обратную сторону, по красному маршруту, доступа к ресурсам ядра кинетика не будет, поэтому - Второй момент: Статья тут: https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса#:~:text=На интерфейсах интернет-центра предусмотрены,protected (защищённый%2C локальный). После прочтения понимаем, что интерфейс L2TP0 на клиенте (сейчас нам эта сторона интересна) - PUBLIC. Поэтому мы и не попадаем к ресурсам синего Keenetic TWO со стороны красного сервера Keenetic ONE. Меняем Public на Private (статья же внимательно изучена? ) Осталось поработать с оранжевыми стрелочками со схемы. В статье это делается командой: (config)> no isolate-private Вы тоже так сделайте, причем на красной и синей сторонах. На синей это сработает для интерфейса L2TP0 и Home, а на красной только для Home. И все, наступило счастье! Но есть нюансы Момент 3. Мы не попадём в сеть 192.168.2.0/24 с таким адресом как 192.168.2.1 , так как забыли что идем в нее через пастельно синий, через сеть L2TP/IPsec. А в пастельно синем облаке у нас свой адрес - 172.16.2.34, поэтому набирайте в проводнике адрес \\172.16.2.34\Disk_02 и - вот вы уже на даче Если напрягает запоминать кроме адреса 192.168.2.1 еще и 172.16.2.34 то есть еще Момент 4 Все что ниже делаем на красной стороне: Сначала читаем - https://help.keenetic.com/hc/ru/articles/115000045689-Синтаксис-и-описание-команды-ip-static-для-настройки-трансляции-сетевых-адресов-NAT Раздел 3. Пример 2. Из него получилось : ip static 192.168.2.1 255.255.255.255 172.16.2.34 Теперь вы попадет в ваш любимый дачный диск по привычному адресу \\192.168.2.1\Disk_02 но, опять нюансы... если вы захотите использовать адрес 192.168.2.1 в других соединениях, например в вашем настроенном туннеле IPSec сеть-сеть, то ничего не получится, вас будет отправлять на 172.16.2.34. Поэтому верните все назад - ip static 192.168.2.1 255.255.255.255 192.168.2.1 И главное, не забывайте system configuration save На самом деле, наверное, не обязательно менять интерфейс на L2TP с public на private, можно решить задачу правилами NAT (статья выше) и правилами межсетевого экрана, еще статья: https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса#:~:text=На интерфейсах интернет-центра предусмотрены,protected (защищённый%2C локальный). Но я не погружался в эту сторону глубоко, можно местных гуру пораспрашивать, если есть желающий задавать правильные вопросы и сидеть работать с полученными ответами И да, этот вариант закачки дачного диска сериалами из дома гораздо быстрее туннеля сеть-сеть IPSec. По крайней мере я это наблюдаю у себя, в моем случае Keenetic TWO это KN-1010, а Keenetic ONE это KN-1011