Как полностью отключить межсетевой экран?

[Icespeck]

Добрый день.

Имеется Keenetic Giga (KN-1011), версия ОС 3.8.5.4. Keenetic у меня стоит за другим роутером, который уже выполняет роль интернет шлюза, а сам Keenetic выполняет роль основного роутера. Поэтому межсетевой экран Кинетика мне только мешает, и я его хотел бы полностью отключить.

Что уже было сделано? Как я понимаю, все доступные нам настройки лежат в файлах running-config.txt (действующая, но несохраненная конфигурация) и KN-1011_stable_3.08.C.5.0-4_router_startup-config.txt (конфигурация, которая будет загружена при перезагрузке). Только по факту в этих файлах всё равно очень мало настроек. В пункте access-list _WEBADMIN_ISP, который, как я понял, за это отвечает, всё то же, что и в веб интерфейсе.

Кинетик имеет сеть 192.168.1.0/24 и адрес 192.168.1.1, второй роутер, который подключен непосредственно к интернету, имеет сеть 192.168.2.0/24 и адрес 192.168.2.1.

Пробовал следующие команды, чтобы подключиться к Кинетику из сети 192.168.2.0/24 и пропинговать его и компьютеры сети 192.168.1.0/24:

Цитата

permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Не помогло. Так же дополнительно отдельно разрешал и TCP, и UDP. И делал это как во вкладке Интернет, так и во вкладке Домашняя сеть. В итоге из второй сети ничего не пингуется в домашней, ни к веб-интерфейсам не подключается (тут есть сетевое хранилище), ни к RDP. 

Собственно, что я делаю не так? И можно ли вообще полностью отключить этот межсетевой экран?

 

 

[MDP]

Воткните тогда LAN кабель в LAN порт кинетика... WAN вообще не используйте.

[Илья Картавенко]

10 минут назад, Icespeck сказал:

Добрый день.

Имеется Keenetic Giga (KN-1011), версия ОС 3.8.5.4. Keenetic у меня стоит за другим роутером, который уже выполняет роль интернет шлюза, а сам Keenetic выполняет роль основного роутера. Поэтому межсетевой экран Кинетика мне только мешает, и я его хотел бы полностью отключить.

Что уже было сделано? Как я понимаю, все доступные нам настройки лежат в файлах running-config.txt (действующая, но несохраненная конфигурация) и KN-1011_stable_3.08.C.5.0-4_router_startup-config.txt (конфигурация, которая будет загружена при перезагрузке). Только по факту в этих файлах всё равно очень мало настроек. В пункте access-list _WEBADMIN_ISP, который, как я понял, за это отвечает, всё то же, что и в веб интерфейсе.

Кинетик имеет сеть 192.168.1.0/24 и адрес 192.168.1.1, второй роутер, который подключен непосредственно к интернету, имеет сеть 192.168.2.0/24 и адрес 192.168.2.1.

Пробовал следующие команды, чтобы подключиться к Кинетику из сети 192.168.2.0/24 и пропинговать его и компьютеры сети 192.168.1.0/24:

Не помогло. Так же дополнительно отдельно разрешал и TCP, и UDP. И делал это как во вкладке Интернет, так и во вкладке Домашняя сеть. В итоге из второй сети ничего не пингуется в домашней, ни к веб-интерфейсам не подключается (тут есть сетевое хранилище), ни к RDP. 

Собственно, что я делаю не так? И можно ли вообще полностью отключить этот межсетевой экран?

 

 

Переведите кинетик в режим точки доступа.

[PASPARTU]

43 минуты назад, Icespeck сказал:

Добрый день.

Имеется Keenetic Giga (KN-1011), версия ОС 3.8.5.4. Keenetic у меня стоит за другим роутером, который уже выполняет роль интернет шлюза, а сам Keenetic выполняет роль основного роутера. Поэтому межсетевой экран Кинетика мне только мешает, и я его хотел бы полностью отключить.

Что уже было сделано? Как я понимаю, все доступные нам настройки лежат в файлах running-config.txt (действующая, но несохраненная конфигурация) и KN-1011_stable_3.08.C.5.0-4_router_startup-config.txt (конфигурация, которая будет загружена при перезагрузке). Только по факту в этих файлах всё равно очень мало настроек. В пункте access-list _WEBADMIN_ISP, который, как я понял, за это отвечает, всё то же, что и в веб интерфейсе.

Кинетик имеет сеть 192.168.1.0/24 и адрес 192.168.1.1, второй роутер, который подключен непосредственно к интернету, имеет сеть 192.168.2.0/24 и адрес 192.168.2.1.

Пробовал следующие команды, чтобы подключиться к Кинетику из сети 192.168.2.0/24 и пропинговать его и компьютеры сети 192.168.1.0/24:

Не помогло. Так же дополнительно отдельно разрешал и TCP, и UDP. И делал это как во вкладке Интернет, так и во вкладке Домашняя сеть. В итоге из второй сети ничего не пингуется в домашней, ни к веб-интерфейсам не подключается (тут есть сетевое хранилище), ни к RDP. 

Собственно, что я делаю не так? И можно ли вообще полностью отключить этот межсетевой экран?

 

 

https://help.keenetic.com/hc/ru/articles/360000571060-Режим-Точка-доступа-Ретранслятор-

[Icespeck]

Хотел бы поблагодарить всех, кто отписался. Здорово, что у Кинетика такое отзывчивое сообщество.

В общем, пробовал я оба режима работы. Так же получил ответ от службы поддержки.

Как оказалось, настройки permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 достаточно. Просто я на шлюзе, который выполняет роутер Микротик, неправильно указал маршрут. Надо было указывать конкретный адрес Кинетика, а не просто интерфейс.

Но пока я ошибку не нашел, подключил еще один Микротик (на схеме 941) параллельно Кинетику. Конечной целью было подключиться к NAS. Хотел проверить, точно ли дело не в настройка файервола компьютеров из сети 192.168.1.0/24. Тестовое подключение осуществлялось с компьютера 2600К.

После того, как нашел ошибку в маршруте на роутере АС2, с 2600К стали доступны интерфейсы 192.168.1.1 и 192.168.1.10 (а так же 192.168.3.1 и 192.168.3.10) (на схеме есть перечеркнутая связь с роутером 941, она была только на время первых настроек). Все работало и когда Кинетик подключался к АС2 через WAN порт, и когда через LAN порт.

Но в итоге решил перевести Кинетик в режим точки доступа. Все же Микротик удобнее. А то на Кинетике после тестов начались еще и проблемы с VPN (l2tp + IPsec, если что). Тоннель подключается, IP выдается, VPN сервер пингуется, а в локальную сеть за VPN сервером попасть не получается, хотя маршрут прописан. Ощущение, что не хватает NAT для этого подключения. Но как там отдельно настроить NAT для VPN я не нашел. По идее, он должен быть по умолчанию, учитывая скудность настроек. Хотя раньше работал. Странно, в общем.

Ну так вот, режим точки доступа настроить получилось. Собственно, зачем мне дома два роутера? Просто у роутера-шлюза АС2 плохой WiFi, который еще бывает не дружит с Айфонами у этого производителя. Раньше им пользовался, но связь была нестабильная, видео подвисало. На другой квартире WiFi вообще циклично отваливался и переподключался. Тогда там попробовал подключить другой Кинетик как обычный клиент в режиме роутера, чтобы просто через WiFi выходить в интернет. Но почему-то связь тоже была настабильная. Не знаю, что там была за магия, так как когда Кинетик был сделан единственным роутером, проблемы со связью ушли. Собственно, сейчас потестировал связь с помощью просмотра тяжелого видео с частой перемоткой, и проблем со скоростью и отзывчивостью не обнаружены. 

Всем спасибо за участие.