Настройка Keenetic c дополнительным маршрутизатором внутри локальной сети

Трио · Вторник в 15:37

Здравствуйте.

Прошу помощи в настройке Keenetic'а. Свои идеи уже закончились.

В офисе стоит старенький Keenetic Extra II c ОС 3.5.10, который имеет подключение к Интернет-провадеру по WAN-порту с IP-адресом 192.168.10.1. Все офисные компьютеры подключены к нему по LAN-порту и находятся в сегменте 192.168.0.0/24. Это типовая конфигурация и она прекрасно работает.

Сейчас мне надо подключить к Keenetic новое оборудование с отдельной подсетью 192.168.2.0/24. Но сделать это необходимо через коммутатор L3, который по сути будет выполнять роль маршрутизатра. Схему постарался изобразить на рисунке ниже:

keenetic.png.3107ccb5d33e30a13b0945906dc823c9.png

В Keenetic я создал отдельный сегмент 192.168.1.0/24, добавил маршрут до подсети 192.168.2.0/24, добавил правила в межсетевой экран во все сегменты "Разрешить/IP/Любой/Любой".

В итоге:
ПК А может пинговать ПК В;
ПК B может пинговать ПК А, но не имеет доступа в Интернет;

Предпологаю, что Keenetic просто отбрасыват пакеты от ПК В (192.168.2.2), т.к. в настройках Keenetic отсутствует сегмент с данным диапазоном.

Как мне настроить доступ в Интернет для ПК B ?
Заранее благадарю за любую помощь

РЕШЕНИЕ (коротко):
Подключаемся к Keenetic по telnet или ssh.
Вводим комманду разрешающую трансляцию адресов для подсети 192.168.2.0/24:
ip nat 192.168.2.0/24

Сохраняем настройки:
copy running-config startup-config

Изменено Четверг в 10:04 пользователем Трио

Илья Картавенко · Вторник в 16:01

20 минут назад, Трио сказал:

Здравствуйте.

Прошу помощи в настройке Keenetic'а. Свои идеи уже закончились.

В офисе стоит старенький Keenetic Extra II c ОС 3.5.10, который имеет подключение к Интернет-провадеру по WAN-порту с IP-адресом 192.168.10.1. Все офисные компьютеры подключены к нему по LAN-порту и находятся в сегменте 192.168.0.0/24. Это типовая конфигурация и она прекрасно работает.

Сейчас мне надо подключить к Keenetic новое оборудование с отдельной подсетью 192.168.2.0/24. Но сделать это необходимо через коммутатор L3, который по сути будет выполнять роль маршрутизатра. Схему постарался изобразить на рисунке ниже:

В Keenetic я создал отдельный сегмент 192.168.1.0/24, добавил маршрут до подсети 192.168.2.0/24, добавил правила в межсетевой экран во все сегменты "Разрешить/IP/Любой/Любой".

В итоге:
ПК А может пинговать все "новые" устройства: 192.168.1.1, 192.168.1.2, 192.168.2.1 и 192.168.2.2;
ПК B не имеет доступа в Интернет и почему-то не может пинговать ПК А 192.168.0.2 (а его шлюз 192.168.0.1 пингует);

Предпологаю, что Keenetic просто отбрасыват пакеты от ПК В (192.168.2.2), т.к. в настройках Keenetic отсутствует сегмент с данным диапазоном.

Как мне настроить доступ в Интернет для ПК B ?

Заранее благадарю за любую помощь

Раз у вас L3 коммутатор, то в нем наверняка есть возможность происать статический маршрут. Так вот, вам нужно прописать маршрут в сеть кинетика. Либо это же можно сделать непосредственно на конкретных компьютерах.

Трио · Вторник в 16:56

41 минуту назад, Илья Картавенко сказал:

Раз у вас L3 коммутатор, то в нем наверняка есть возможность происать статический маршрут. Так вот, вам нужно прописать маршрут в сеть кинетика.

Да, в коммутаторе L3 настроен шлюз по умолчанию, как IP-адрес Keenetic в сегменте 192.168.1.1. И на сколько я понимаю, все маршруты работают корректно, т.к. ПК А может пинговать ПК В. А ПК В может пинговать интерфейс Keenetic в соседнем сегменте 192.168.0.1.

51 минуту назад, Илья Картавенко сказал:

Либо это же можно сделать непосредственно на конкретных компьютерах.

Я думаю, что в рамках моей схемы это не будет работать, т.к. IP-адрес Keenetic лежит вне диапазона подсети ПК В.

Илья Картавенко · Вторник в 17:14

14 минут назад, Трио сказал:

Да, в коммутаторе L3 настроен шлюз по умолчанию, как IP-адрес Keenetic в сегменте 192.168.1.1. И на сколько я понимаю, все маршруты работают корректно, т.к. ПК А может пинговать ПК В. А ПК В может пинговать интерфейс Keenetic в соседнем сегменте 192.168.0.1.

Я думаю, что в рамках моей схемы это не будет работать, т.к. IP-адрес Keenetic лежит вне диапазона подсети ПК В.

Для этого и нужно построить обратный маршрут.

Трио · Вторник в 17:19

2 минуты назад, Илья Картавенко сказал:

Для этого и нужно построить обратный маршрут.

Согласен. Поэтому, как писал ранее, были настроены два маршрута

1 час назад, Трио сказал:

В Keenetic я ... добавил маршрут до подсети 192.168.2.0/24

22 минуты назад, Трио сказал:

в коммутаторе L3 настроен шлюз по умолчанию, как IP-адрес Keenetic в сегменте 192.168.1.1.

Denis P · Вторник в 17:22

25 минут назад, Трио сказал:

IP-адрес Keenetic лежит вне диапазона подсети ПК В

Это решается с помощью ip alias

Илья Картавенко · Вторник в 17:26

5 минут назад, Трио сказал:

Согласен. Поэтому, как писал ранее, были настроены два маршрута

А теперь из сети 192.168.2.0

Трио · Вторник в 18:00

33 минуты назад, Илья Картавенко сказал:

А теперь из сети 192.168.2.0

Попробую описать маршруты следования пакетов (как я их вижу).
Маршрут от ПК А к ПК В:
1.1 В ПК А настроен шлюз по умолчанию 192.168.0.1 (Keenetic);
1.2 В Keenetic автоматически заполняется таблица маршрутизации между всеми сегментами (192.168.0.0/24 и 192.168.1.0/24);
1.3 Дополнительно, я добавил в Keenetik маршрут до 192.168.2.0/24 -> 192.168.1.2;
1.4 В L3, автоматически заполняется таблица маршрутизации между всеми интерфейсами (192.168.1.0/24 и 192.168.2.0/24);

Обратный маршрут от ПК В к ПК А:
1.1 В ПК В настроен шлюз по умолчанию 192.168.2.1 (L3);
1.2 В L3, автоматически заполняется таблица маршрутизации между всеми интерфейсами (192.168.1.0/24 и 192.168.2.0/24);
1.3 В Keenetic автоматически заполняется таблица маршрутизации между всеми сегментами (192.168.0.0/24 и 192.168.1.0/24);

Вы это имели ввиду?

Трио · Вторник в 18:03

38 минут назад, Denis P сказал:

Это решается с помощью ip alias

Никогда ранее не использовал псевдонимы. Можете раскрыть вашу идею?

Denis P · Вторник в 18:08

6 минут назад, Трио сказал:

Никогда ранее не использовал псевдонимы. Можете раскрыть вашу идею?

interface Bridge0 ip alias 192.168.2.10 255.255.255.0
где 2.10 любой свободный адрес из "новой" подсети, а Bridge0 интерфейс "домашней сети" или той к которой у вас подключен свич

Изменено Вторник в 18:10 пользователем Denis P

Илья Картавенко · Вторник в 19:15

1 час назад, Трио сказал:

Попробую описать маршруты следования пакетов (как я их вижу).
Маршрут от ПК А к ПК В:
1.1 В ПК А настроен шлюз по умолчанию 192.168.0.1 (Keenetic);
1.2 В Keenetic автоматически заполняется таблица маршрутизации между всеми сегментами (192.168.0.0/24 и 192.168.1.0/24);
1.3 Дополнительно, я добавил в Keenetik маршрут до 192.168.2.0/24 -> 192.168.1.2;
1.4 В L3, автоматически заполняется таблица маршрутизации между всеми интерфейсами (192.168.1.0/24 и 192.168.2.0/24);

Обратный маршрут от ПК В к ПК А:
1.1 В ПК В настроен шлюз по умолчанию 192.168.2.1 (L3);
1.2 В L3, автоматически заполняется таблица маршрутизации между всеми интерфейсами (192.168.1.0/24 и 192.168.2.0/24);
1.3 В Keenetic автоматически заполняется таблица маршрутизации между всеми сегментами (192.168.0.0/24 и 192.168.1.0/24);

Вы это имели ввиду?

У вас должно быть 2 маршрута

На кинетике 192.168.1.0/24 в 192.168.2.0/24

На L3 192.168.2.0/24 в 192.168.1.0/24

Ну и днс прописать на компах

Трио · Среда в 12:34

16 часов назад, Илья Картавенко сказал:

У вас должно быть 2 маршрута

На кинетике 192.168.1.0/24 в 192.168.2.0/24

На L3 192.168.2.0/24 в 192.168.1.0/24

Все верно. Изначально, на Keenetic был добавлен маршрут до подсети 192.168.2.0/24, а на коммутаторе L3 был добавлен маршрут по умолчаниию с отправкой к Keenetic 192.168.1.1. И похоже, что маршрут по умолчанию на коммутаторе L3 как-то некорректно работал. После того как я его удалил и прописал заново появился взаимный пинг между ПК А и ПК В.

Итого:
1. ПК А может пинговать ПК В;
2. ПК В может пинговать ПК А;
3. ПК А может пинговать шлюз провайдера и любой другой IP-адрес в Интерент;
4. ПК В не может пинговать ни шлюз провайдера, ни любой другой IP-адрес в Интерент;

Вопрос остается прежним: почему ПК В не имеет доступ в Интернет?
Предполагаю, что это может как-то связано с NAT Keenetic'а. Возможно он просто не может транслировать IP-адреса от устройств, которые не входят в диапазон его сегментов. Может кто-то сталкивался с этим?

Denis P · Среда в 12:42

5 минут назад, Трио сказал:

которые не входят в диапазон его сегментов

Вы намеренно игнорируете ip alias? Я вам даже пример привел использования

Трио · Среда в 12:46

1 минуту назад, Denis P сказал:

Вы намеренно игнорируете ip alias? Я вам даже пример привел использования

Ни в коем случае. Я пока теорию не успел почитать. Сегодня почитаю.

Илья Картавенко · Среда в 12:50

13 минут назад, Трио сказал:

Вопрос остается прежним: почему ПК В не имеет доступ в Интернет?

А dns на нем какие то указаны? Он получает их по dhcp?

Трио · Среда в 12:56

3 минуты назад, Илья Картавенко сказал:

А dns на нем какие то указаны? Он получает их по dhcp?

прописаны dns-сервера провайдера, но какой в них толк если пинг наружу не идет.

Denis P · Среда в 12:59

13 минут назад, Трио сказал:

Ни в коем случае. Я пока теорию не успел почитать. Сегодня почитаю.

Дело в том что это как раз решает задачу с адресом из новой подсети на вашем свиче без необходимости создания нового сегмента на роутере)

Дополнительная информация тут, пусть вас не смущает заголовок, это применимо не только к WAN

https://help.keenetic.ru/hc/ru/articles/360003766140-Несколько-IP-адресов-на-WAN-псевдоним-IP

Изменено Среда в 12:59 пользователем Denis P

Илья Картавенко · Среда в 12:59

Только что, Трио сказал:

прописаны dns-сервера провайдера, но какой в них толк если пинг наружу не идет.

Нет на комп B должен быть не dns провайдера, а dns кинетика, попробуйте так.

Трио · Среда в 13:52

47 минут назад, Илья Картавенко сказал:

Нет на комп B должен быть не dns провайдера, а dns кинетика, попробуйте так.

Поменял, проверил. Теперь есть разрешение dns-имен. Можно пытаться пинговать по dns-имени ( ping ya.ru ), но сами пинги наружу не идут.

Leshiyart · Среда в 13:55

2 минуты назад, Трио сказал:

но сами пинги наружу не идут

ip nat сеть того алиаса надо сделать и сохранить настройки

Трио · Среда в 14:14

1 час назад, Denis P сказал:

Дело в том что это как раз решает задачу с адресом из новой подсети на вашем свиче без необходимости создания нового сегмента на роутере)

Спасибо за ссылку, почитал. Насколько я понял, псевдонимы позволяют назначить интерфейсу Keenetic еще один IP-адрес.
Видимо не до конца понимаю вашу идею. Поправьте меня, если я ошибаюсь.
1. Вы прдлагаете добавить в Keenetic псевдоним (второй IP, 192.168.2.10) на сегменте 192.168.0.1/24;
2. На ПК В установить шлюз по умолчанию 192.168.2.10;

Если я правильно вас понял, то здесь это работать не будет, т.к. между Keenetic'ом и ПК B стоит маршрутизатор (коммутатор L3). Он разделяет Keenetic и ПК В на два изолированных широковещательных домена и поэтому не даст работать такой схеме. Если маршрутизатор L3 "выкинуть", то всё будет работать. Но маршрутизатор "выкидывать" нельзя - это принципиально.

Изменено Среда в 14:45 пользователем Трио

Трио · Среда в 14:48

48 минут назад, Leshiyart сказал:

ip nat сеть того алиаса надо сделать и сохранить настройки

Что-то не уловил вашу идею.

Илья Картавенко · Среда в 14:49

55 минут назад, Трио сказал:

Поменял, проверил. Теперь есть разрешение dns-имен. Можно пытаться пинговать по dns-имени ( ping ya.ru ), но сами пинги наружу не идут.

Пинги это icmp трафик, разрешите его на оборрудовании

Илья Картавенко · Среда в 16:32

22 часа назад, Трио сказал:

В ПК В настроен шлюз по умолчанию 192.168.2.1

Для ПК B шлюзом по умолчанию должен быть 192.168.1.1, т.е кинетик, так же как и днс Мне кажется должно быть так. Попробуйте заменить, посмотрите, что получится

Трио · Среда в 17:14

2 часа назад, Илья Картавенко сказал:

Пинги это icmp трафик, разрешите его на оборрудовании

У меня в каждом сегменте межсетевого экрана Keenetic (два локальных и один внешний) добавлено более общее правило:

В 24.06.2025 в 18:37, Трио сказал:

В Keenetic я ... добавил правила в межсетевой экран во все сегменты "Разрешить/IP/Любой/Любой".

Благодаря этому правилу у меня проходят пинги между сегментами, а именно между ПК А и ПК В. Пинги не идут только от ПК В к провайдеру (Интернет).
Завтра попробую добавить правило с icmp, но, если честно, то сомневаюсь, что это поможет.

Трио · Среда в 17:17

42 минуты назад, Илья Картавенко сказал:

Для ПК B шлюзом по умолчанию должен быть 192.168.1.1, т.е кинетик, так же как и днс Мне кажется должно быть так. Попробуйте заменить, посмотрите, что получится

IP-адрес шлюза должен находиться внутри подсети ПК В ( 192.168.2.0/24 ). Windows не позволит установить шлюз 192.168.1.1

Трио · Четверг в 09:55

19 часов назад, Leshiyart сказал:

ip nat сеть того алиаса надо сделать и сохранить настройки

Ваш совет помог. Только я его не сразу понял, т.к. мало знаком с CLI Keenetic.

Распишу подробнее, вдруг кому пригодится:
Как я и подозревал ранее, причиной блокировки пингов от ПК В наружу была в том, что Keenetic не выполнял трансляцию адресов (NAT) из незнакомой ему подсети (192.168.2.0/24). В web-интерфесе можно включить/отключить NAT только для известных Keenetic сегментов. Поэтому придется обратиться к командной строке (CLI). Справочник по CLI можно найти на сайте Keenetic в центре загрузки для вашей модели роутера.

Подключаемся к Keenetic по telnet или ssh. Вводим комманду разрешающую NAT для подсети ПК В 192.168.2.0/24:
ip nat 192.168.2.0/24

И все начинает работать!

Однако, чтобы наши настройки не сбросились после перезагрузки, нам надо их сохранить:
copy running-config startup-config

Спасибо всем кто помогал! Без вас я бы не справился!

Изменено Четверг в 09:55 пользователем Трио

Илья Картавенко · Четверг в 10:28

32 минуты назад, Трио сказал:

Ваш совет помог. Только я его не сразу понял, т.к. мало знаком с CLI Keenetic.

Распишу подробнее, вдруг кому пригодится:
Как я и подозревал ранее, причиной блокировки пингов от ПК В наружу была в том, что Keenetic не выполнял трансляцию адресов (NAT) из незнакомой ему подсети (192.168.2.0/24). В web-интерфесе можно включить/отключить NAT только для известных Keenetic сегментов. Поэтому придется обратиться к командной строке (CLI). Справочник по CLI можно найти на сайте Keenetic в центре загрузки для вашей модели роутера.

Подключаемся к Keenetic по telnet или ssh. Вводим комманду разрешающую NAT для подсети ПК В 192.168.2.0/24:
ip nat 192.168.2.0/24

И все начинает работать!

Однако, чтобы наши настройки не сбросились после перезагрузки, нам надо их сохранить:
copy running-config startup-config

Спасибо всем кто помогал! Без вас я бы не справился!

Для сохранения настроек system configuration save

Трио · Четверг в 11:23

55 минут назад, Илья Картавенко сказал:

Для сохранения настроек system configuration save

Век живи - век учись! Я не знаток CLI Keenetic, поэтому команду "copy running-config startup-config" взял из раздела 2 "Знакомство с командной строкой" справочника команд CLI Keenetic.

Спасибо

Изменено Четверг в 11:24 пользователем Трио

Илья Картавенко · Четверг в 11:27

2 минуты назад, Трио сказал:

Век живи - век учись! Я не знаток CLI Keenetic, поэтому команду "copy running-config startup-config" взял из раздела 2 "Знакомство с командной строкой" справочника команд CLI Keenetic.

Спасибо

Эта команда в справочнике тоже есть.

Удачи!

Настройка Keenetic c дополнительным маршрутизатором внутри локальной сети

Вопрос

29 ответов на этот вопрос

Рекомендуемые сообщения

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация