Помогите с настройкой Кинетика

[support@cyber.com.ru]

Помогите настроить Кинетик под следующую задачу.

Порт 0 Кинетика подключен в порт коммутатора провайдера. Порт коммутатора работает в режиме trunk, разрешены следующие VLAN: 300, 390, 400. VLAN 300 — отдельная закрытая подсеть с приватной адресацией (10.102.2xx/24). VLAN 390 — отдельный изолированный L2VPN, без IP-адресации, должен быть сбриджеван с портами 3 и 4. VLAN 400 — VLAN, в котором должно быть установлено PPPoE-подключение для доступа в интернет. То есть коротко: 0.400 - интернет PPPoE, 0.300 - закрытая подсеть, 0.390+3+4 - бридж, 1+2 - локальная сеть.

Через веб-интерфейс я такое настроить не могу, он глючит и не дает выбрать нужные параметры.

Составил такую текстовую конфигурацию (которую буду загружать вместо startup-config), просьба ее проверить и посоветовать изменения:

  Показать контент

 

! $$$ Model: ZyXEL Keenetic II
! $$$ Version: 2.06.1
! $$$ Agent: http/ci
! $$$ Last change: Fri,  7 Apr 2017 09:32:51 GMT
! $$$ Md5 checksum: 00e991046865532fb544976593d90416

system
    set net.ipv4.ip_forward 1
    set net.ipv4.tcp_fin_timeout 30
    set net.ipv4.tcp_keepalive_time 120
    set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200
    set net.ipv4.netfilter.ip_conntrack_max 10240
    set vm.swappiness 100
    no button WLAN on click
    no button WLAN on hold
    no button FN on click
    clock timezone Europe/Moscow
    clock date  7 Apr 2017 12:33:52
    domainname LIVE
    hostname GATEWAY
!
ntp server ntp.live.local
ntp server ntp.domain.ru
ntp server ru.pool.ntp.org
isolate-private
dyndns profile _WEBADMIN
!
interface FastEthernet0
    up
!
interface FastEthernet0/0
    name 0
    switchport mode trunk
    switchport trunk vlan 300,400,390
    up
!
interface FastEthernet0/1
    name 1
    switchport mode access
    switchport access vlan 1
    up
!
interface FastEthernet0/2
    name 2
    switchport mode access
    switchport access vlan 1
    up
!
interface FastEthernet0/3
    name 3
    switchport mode access
    up
!
interface FastEthernet0/4
    name 4
    switchport mode access
    up
!
interface FastEthernet0/Vlan1
    description "Home VLAN"
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface FastEthernet0/Vlan300
    description IPCAMS
    security-level public
    ip address 10.102.200.254 255.255.255.0
    ip dhcp client hostname GATEWAY
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    up
!
interface FastEthernet0/Vlan400
    description PPPOE
    security-level public
    ip mtu 1500
    up
!
interface FastEthernet0/Vlan390
    description VPN
    security-level public
    ip mtu 1500
    up
!
interface PPPoE0
    description INET
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity test
    authentication password ns3 pwd
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1492
    ip global 1000
    ip tcp adjust-mss pmtu
    up
!
interface WifiMaster0
    country-code RU
    compatibility BGN
    channel width 40-below
    power 100
    up
!
interface WifiMaster0/AccessPoint0
    name AccessPoint
    description "Wi-Fi access point"
    mac access-list type none
    security-level private
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid PRIVATE
    wmm
    down
!
interface WifiMaster0/AccessPoint1
    name GuestWiFi
    description GUEST
    mac access-list type none
    security-level protected
    encryption disable
    ip address 192.168.255.250 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid PUBLIC
    wmm
    down
!
interface WifiMaster0/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/WifiStation0
    security-level public
    encryption disable
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface Bridge0
    name Local
    description LAN
    inherit FastEthernet0/Vlan1
    include AccessPoint
    security-level private
    ip address 10.102.254.250 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface Bridge1
    name VPN
    description LAN
    inherit FastEthernet0/Vlan390
    include 3
    include 4
    security-level private
    up
!
ip route 10.102.0.0 255.255.0.0 10.102.200.250 FastEthernet0/Vlan300 auto
ip dhcp pool _WEBADMIN
    range 10.102.254.1 10.102.254.99
    lease 25200
    bind Home
    enable
!
ip dhcp pool _WEBADMIN_GUEST_AP
    range 192.168.255.1 192.168.255.99
    lease 7200
    bind GuestWiFi
    enable
!
ip name-server 10.102.0.40 "" on FastEthernet0/Vlan300
ip nat GuestWiFi
ppe software
ppe hardware
!
user admin
    password md5 pwd
    password nt pwd
    tag cli
    tag http
    tag ftp
    tag cifs
    tag printers
    tag torrent
!
user user
    password md5 pwd
    password nt pwd
    tag readonly
!
service dhcp
service dns-proxy
service cifs
service http
service telnet
service ntp-client
service upnp
cifs
    automount
    permissive
!

 

Но такое не работает. Как правильно создать бридж?

[support@cyber.com.ru]

Сделал такой конфиг. Вроде бы все правильно, но нет доступа к закрытой сети и нет доступа к интернет. Не подскажите, что неправильно?

config.txt

[KorDen]

В качестве отправной точки можно воспользоваться штатными возможностями веб-интерфейса - используя "VLAN для доступа в Интернет/IPTV/телефонии" указать VLANы, скажем за IPTV посчитать L2VPN и поставить галки "приставки" на портах 3 и 4, в качестве влана телфонии указать влан приватной сети, но галку на портах не ставить. После такой настройки должно работать все кроме приватной сети.

Приватную сеть надо будет донастроить вручную в FastEthernet0/Vlan300, после этого в вебе исправлять уже нельзя естественно.

По вашему конфигу. сходу, специально бриджевать порты для L2VPN не нужно, все работает на уровне вланов, т.е. Bridge2 нужно удалить

Изменено 7 апреля, 2017 пользователем KorDen

[Le ecureuil]

Вроде вот так должно быть все ок

  Показать контент

 

! $$$ Model: ZyXEL Keenetic II
! $$$ Version: 2.06.1

! Interfaces:
! FastEthernet0/Vlan1 (VLAN-LOCAL)
! FastEthernet0/Vlan300 (VLAN-REMOTE)
! FastEthernet0/Vlan400 (VLAN-INTERNET)
! FastEthernet0/Vlan390 (VLAN-PRIVATE)
! WifiMaster0/AccessPoint0 (WIFI-LOCAL)
! WifiMaster0/AccessPoint1 (WIFI-GUEST)
! Bridge0 (IF-LOCAL)
! Bridge1 (IF-GUEST)
! PPPoE0  (IF-INTERNET)

system
  set net.ipv4.ip_forward 1
  set net.ipv4.tcp_fin_timeout 30
  set net.ipv4.tcp_keepalive_time 120
  set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200
  set net.ipv4.netfilter.ip_conntrack_max 10240
  set vm.swappiness 100
  no button FN on click
  no button FN on double-click
  no button FN on hold
  no button WLAN on click
  no button WLAN on double-click
  no button WLAN on hold
  clock timezone Europe/Moscow
  domainname CHERKESSK-LIVE
  hostname GATEWAY-203
  exit
!
user admin
  password adm
  tag cli
  tag http
  tag ftp
  exit
!
user user
  password usr
  tag readonly
  exit
!
interface FastEthernet0
  up
  exit
!
interface FastEthernet0/0
  name 0
  switchport mode trunk
  switchport trunk vlan 300,390,400
  up
  exit
!
interface FastEthernet0/1
  name 1
  switchport mode access
  switchport access vlan 1
  up
  exit
!
interface FastEthernet0/2
  name 2
  switchport mode access
  switchport access vlan 1
  up
  exit
!
interface FastEthernet0/3
  name 3
  switchport mode access
  switchport access vlan 390
  up
  exit
!
interface FastEthernet0/4
  name 4
  switchport mode access
  switchport access vlan 390
  up
  exit
!
interface FastEthernet0/Vlan1
  name VLAN-LOCAL
  description "[vlan] Local Network"
  security-level private
  ip dhcp client dns-routes
  ip dhcp client name-servers
  up
  exit
!
interface FastEthernet0/Vlan300
  name VLAN-REMOTE
  description "[vlan] IPCams Network"
  security-level public
  ip address 10.102.200.254/24
  ip dhcp client hostname GATEWAY
  ip dhcp client dns-routes
  ip dhcp client name-servers
  ip mtu 1500
  up
  exit
!
interface FastEthernet0/Vlan390
  name VLAN-PRIVATE
  description "[vlan] Private Network"
  security-level protected
  ip mtu 1500
  up
  exit
!
interface FastEthernet0/Vlan400
  name VLAN-INTERNET
  description "[vlan] Internet Network"
  security-level public
  ip mtu 1500
  up
  exit
!
interface WifiMaster0
  country-code RU
  compatibility BGN
  channel width 40-below
  power 100
  up
  exit
!
interface WifiMaster0/AccessPoint0
  name WIFI-LOCAL
  description "[wifi] Local Network"
  mac access-list type none
  security-level private
  ip dhcp client dns-routes
  ip dhcp client name-servers
  ssid PRIVATE
  encryption enable
  encryption wpa2
  authentication wpa-psk pwd
  no wps
  wmm
  down
  exit
!
interface WifiMaster0/AccessPoint1
  name WIFI-GUEST
  description "[wifi] Guest Network"
  mac access-list type none
  security-level protected
  encryption disable
  ip address 192.168.255.250/24
  ip dhcp client dns-routes
  ip dhcp client name-servers
  ssid PUBLIC
  wmm
  down
  exit
!
interface Bridge0
  name IF-LOCAL
  description "[bridge] Local Network"
  inherit VLAN-LOCAL
  include WIFI-LOCAL
  security-level private
  ip address 10.102.203.250/24
  ip dhcp client dns-routes
  ip dhcp client name-servers
  up
  exit
!
interface Bridge1
  name IF-GUEST
  description "[bridge] Guest Network"
  inherit WIFI-GUEST
  up
  exit
!
interface PPPoE0
  name IF-INTERNET
  description "[ppp] Internet"
  security-level public
  authentication identity user
  authentication password pass
  no ipv6cp
  no ccp
  connect via VLAN-INTERNET
  lcp echo 30 3
  ipcp default-route
  ipcp name-servers
  ipcp dns-routes
  ip mtu 1492
  ip tcp adjust-mss pmtu
  ip dhcp client dns-routes
  ip dhcp client name-servers
  ip global 1000
  up
  exit
!
ip dhcp pool _WEBADMIN
  range 10.102.203.1 10.102.203.99
  default-router 10.102.203.250
  dns-server 10.102.203.250
  lease 86400
  bind IF-LOCAL
  enable
  exit
!
ip dhcp pool _WEBADMIN_GUEST_AP
  range 192.168.255.1 192.168.255.99
  default-router 192.168.255.250
  dns-server 192.168.255.250
  lease 86400
  bind IF-GUEST
  enable
  exit
!
ppe software
ppe hardware
!
ip search-domain "cherkessk-live.local"
ip name-server 10.102.0.40 "" on VLAN-REMOTE
ip name-server 10.102.0.40 "cherkessk-live.local" on VLAN-REMOTE
!
isolate-private
!
ip nat IF-LOCAL
ip nat IF-GUEST
!
ip route 10.102.0.0/16 10.102.200.250 VLAN-REMOTE auto
ip route default IF-INTERNET auto
!
ntp
ntp server ntp.cherkessk-live.local
ntp server ntp.cyber.com.ru
ntp server ru.pool.ntp.org
ntp sync-period 120
!
service telnet
service http
service ntp-client
service dhcp
service dns-proxy
service cifs

 

 

[support@cyber.com.ru]

Веб-интерфейс я вообще использовать не хочу, с ним конфиг (названия интерфейсов) усложняется, сложнее понять, что к чему.

У меня должна получится такая схема, как на прикрепленном рисунке.

Я так понял, что у меня все правильно, нужно только вообще убрать бридж для VLAN 390? Но у меня почему-то даже с самого кинетика (Tools - Diagnostic) не пингуется 10.102.200.250. И на порту коммутатора доступа я вообще не вижу MAC-адресов Кинетика на порту.

[support@cyber.com.ru]

Мда.

Причина оказалась здесь:

interface FastEthernet0/0
...
  switchport trunk vlan 300,390,400

Не понимает он список. Нужно просто три раза строку указать с разными vlan.

[metahor]

  В 08.04.2017 в 08:33, support@cyber.com.ru сказал:

Веб-интерфейс я вообще использовать не хочу, с ним конфиг (названия интерфейсов) усложняется, сложнее понять, что к чему.

У меня должна получится такая схема, как на прикрепленном рисунке.

Я так понял, что у меня все правильно, нужно только вообще убрать бридж для VLAN 390? Но у меня почему-то даже с самого кинетика (Tools - Diagnostic) не пингуется 10.102.200.250. И на порту коммутатора доступа я вообще не вижу MAC-адресов Кинетика на порту.

 

Показать  

А с кинетика и не будет пинговаться,потому что у вас влане 300 нигде тег не снимается,нету аксесс 300 ни на одном порту.

[support@cyber.com.ru]

access 300 и не нужен, у меня SVI.

Причина была в том, что в строке switchport trunk vlan 300,390,400 Кинетик не принимал синтаксис списка и строку игнорировал, поэтому получался порт trunk без разрешенных VLAN. Добавил по одному, теперь все работает.

[support@cyber.com.ru]

Теперь нужно навесить на маршрутизатор ACL.

Из гостевой сети доступ разрешен только в интернет.

Из локальной сети доступ разрешен в интернет, а доступ в приватную сеть (VLAN 300) должен быть разрешен только на узлы 10.102.0.40, 10.102.0.41, 10.102.200.0/24.

10.1.128.0/24 и 10.1.144.0/24 - это подсети, из которых должен быть разрешен telnet и http на маршрутизатор.

Добавил такую конфигурацию:

!
access-list ACL_LOCAL_IN
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_LOCAL_OUT
  permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
access-list ACL_GUEST_IN
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_GUEST_OUT
  permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
access-list ACL_REMOTE_IN
  permit icmp 10.102.200.0/24 10.102.0.0/16
  permit icmp 10.102.0.0/24 10.102.0.0/16
  permit tcp 10.102.0.0/24 10.102.0.0/16
  permit udp 10.102.0.0/24 10.102.0.0/16
  permit icmp 10.1.128.0/24 10.102.0.0/16
  permit tcp 10.1.128.0/24 10.102.0.0/16
  permit icmp 10.1.144.0/24 10.102.0.0/16
  permit tcp 10.1.144.0/24 10.102.0.0/16
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_REMOTE_OUT
  permit icmp 10.102.0.0/16 10.102.200.0/24
  permit icmp 10.102.0.0/16 10.102.0.0/24
  permit tcp 10.102.0.0/16 10.102.0.40/32
  permit tcp 10.102.0.0/16 10.102.0.41/32
  permit tcp 10.102.0.0/16 10.102.0.42/32
  permit tcp 10.102.0.0/16 10.102.0.43/32
  permit tcp 10.102.0.0/16 10.102.0.44/32
  permit tcp 10.102.0.0/16 10.102.0.45/32
  permit tcp 10.102.0.0/16 10.102.0.46/32
  permit tcp 10.102.0.0/16 10.102.0.47/32
  permit tcp 10.102.0.0/16 10.102.0.48/32
  permit tcp 10.102.0.0/16 10.102.0.49/32
  permit udp 10.102.0.0/16 10.102.0.40/32
  permit udp 10.102.0.0/16 10.102.0.41/32
  permit udp 10.102.0.0/16 10.102.0.42/32
  permit udp 10.102.0.0/16 10.102.0.43/32
  permit udp 10.102.0.0/16 10.102.0.44/32
  permit udp 10.102.0.0/16 10.102.0.45/32
  permit udp 10.102.0.0/16 10.102.0.46/32
  permit udp 10.102.0.0/16 10.102.0.47/32
  permit udp 10.102.0.0/16 10.102.0.48/32
  permit udp 10.102.0.0/16 10.102.0.49/32
  permit icmp 10.102.0.0/16 10.1.128.0/24
  permit tcp 10.102.0.0/16 10.1.128.0/24
  permit icmp 10.102.0.0/16 10.1.144.0/24
  permit tcp 10.102.0.0/16 10.1.144.0/24
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
access-list ACL_INTERNET_IN
  permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_INTERNET_OUT
  permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
interface FastEthernet0/Vlan300
  ip access-group ACL_REMOTE_IN in
  ip access-group ACL_REMOTE_OUT out
!
interface Bridge0
  ip access-group ACL_LOCAL_IN in
  ip access-group ACL_LOCAL_OUT out
!
interface Bridge1
  ip access-group ACL_GUEST_IN in
  ip access-group ACL_GUEST_OUT out
!
interface PPPoE0
  ip access-group ACL_INTERNET_IN in
  ip access-group ACL_INTERNET_OUT out

Все правильно? Нужно ли для исходящих tcp-соединений задавать "зеркальные" правила или установленные соединения файрволл не блокирует?

[ndm]

  В 07.04.2017 в 09:58, support@cyber.com.ru сказал:

switchport trunk vlan 300,400,390

Показать  

Правильно так:

switchport trunk vlan 300
switchport trunk vlan 400
switchport trunk vlan 390

[ndm]

  В 08.04.2017 в 11:11, support@cyber.com.ru сказал:

access-list ACL_LOCAL_IN
   deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
   exit
access-list ACL_LOCAL_OUT
   ... 

Показать  

exit не нужен, он сам перейдет выше по контексту.

[ndm]

  В 08.04.2017 в 08:33, support@cyber.com.ru сказал:

нужно только вообще убрать бридж для VLAN 390?

Показать  

Да. Достаточно включить порты 0, 3, 4 в один VLAN, но такое прокатит не на всех моделях. На Giga III и Ultra II синий порт вынесен в отдельный интерфейс, поэтому там бридж нужен.