Связь между сегментами

vvzvlad · 27 октября, 2025

Вот у меня есть два сегмента: Admin c 10.31.50.0/24 и IoT c 10.31.52.0/24. Во втором всякие устройства, в первом мой ноут, с которого я хочу получать доступ к устройствам в IoT. Сегменты разделены по умолчанию, поэтому я иду в фаервол, захожу во вкладку Admin network, и делаю правило "Permit, source any, destination 10.31.52.0/24, protocol IP, enable true". Ииии... ничего. Пинги не проходят, интерфейс не открывается. Точнее, в какой-то момент сработало, но потом перестало.

Все устройства по Wifi подключаются. Я что-то делаю не так?

mrGhotius · 27 октября, 2025

8 часов назад, vvzvlad сказал:

Я что-то делаю не так?

А теперь тоже самое в сторону 10.31.50.0/24

vvzvlad · 29 октября, 2025

On 10/27/2025 at 5:27 PM, mrGhotius said:

А теперь тоже самое в сторону 10.31.50.0/24

Сделал такое же правило на вкладке IoT Network, permit, source any, destination 10.31.50.0/24, protocol IP. И ничего.

mrGhotius · 29 октября, 2025

1 час назад, vvzvlad сказал:

Сделал такое же правило на вкладке IoT Network, permit, source any, destination 10.31.50.0/24, protocol IP. И ничего.

Раздел Диагностика/Захват сетевых пакетов(устанавливаемый компонент) в помощь.

Изменено 29 октября, 2025 пользователем mrGhotius

vvzvlad · 29 октября, 2025

1 minute ago, mrGhotius said:

Раздел Диагностика/Захват сетевых пакетов(устанавливаемый компонент) в помощь.

Да я делал. Пинги в сегменте admin идут, а в iot не появляются. Соотвественно, ответ не приходит.

mrGhotius · 29 октября, 2025

4 минуты назад, vvzvlad сказал:

Да я делал. Пинги в сегменте admin идут, а в iot не появляются. Соотвественно, ответ не приходит.

Других правил для сегмента нет? Важен порядок запрещающих и разрешающих правил.

vvzvlad · 29 октября, 2025

Just now, mrGhotius said:

Других правил для сегмента нет? Важен порядок запрещающих и разрешающих правил.

неа, два правила вот во всей системе

mrGhotius · 29 октября, 2025

1 минуту назад, vvzvlad сказал:

неа, два правила вот во всей системе

Тогда обратитесь в ТП с предоставлением self-test'а

Изменено 29 октября, 2025 пользователем mrGhotius

r13 · 30 октября, 2025

В 27.10.2025 в 09:24, vvzvlad сказал:

Вот у меня есть два сегмента: Admin c 10.31.50.0/24 и IoT c 10.31.52.0/24. Во втором всякие устройства, в первом мой ноут, с которого я хочу получать доступ к устройствам в IoT. Сегменты разделены по умолчанию, поэтому я иду в фаервол, захожу во вкладку Admin network, и делаю правило "Permit, source any, destination 10.31.52.0/24, protocol IP, enable true". Ииии... ничего. Пинги не проходят, интерфейс не открывается. Точнее, в какой-то момент сработало, но потом перестало.

Все устройства по Wifi подключаются. Я что-то делаю не так?

Это в нотации кинетика "out" правило, оно в ui не настраивается, через cli

https://help.keenetic.com/hc/ru/articles/360001429839-Как-реализован-межсетевой-экран

vvzvlad · 30 октября, 2025

6 hours ago, r13 said:

Это в нотации кинетика "out" правило, оно в ui не настраивается, через cli

https://help.keenetic.com/hc/ru/articles/360001429839-Как-реализован-межсетевой-экран

Сделал вот так, но все не работает.

interface Bridge0
rename Home
description "Admin network"
security-level private
ip address 10.31.50.1 255.255.255.0
ip access-group _WEBADMIN_Bridge0 in
ip access-group _WEBADMIN_Bridge0 out
!
interface Bridge2
description "Avada IoT"
security-level protected
ip address 10.31.52.1 255.255.255.0
ip access-group _WEBADMIN_Bridge2 in
ip access-group _WEBADMIN_Bridge2 out
!

access-list _WEBADMIN_Bridge0
permit ip 0.0.0.0 0.0.0.0 10.31.52.0 255.255.255.0
permit description admin->iot
auto-delete
!
access-list _WEBADMIN_Bridge2
permit ip 0.0.0.0 0.0.0.0 10.31.50.0 255.255.255.0
permit description iot->admin
auto-delete
!

r13 · 30 октября, 2025

Наоборот должно быть, out правила разрешают доступ в сегмент

Соответсвенно out правило для Bridge2 должно содержать permit ip 10.31.50.0 255.255.255.0 10.31.52.0 255.255.255.0

Плюс так секюрнее, только для адресов из Bridge0

Зы для Bridge0 правило не нужно

vvzvlad · 30 октября, 2025

8 hours ago, r13 said:

Наоборот должно быть, out правила разрешают доступ в сегмент

Соответсвенно out правило для Bridge2 должно содержать permit ip 10.31.50.0 255.255.255.0 10.31.52.0 255.255.255.0

И все еще не работает(


access-list _WEBADMIN_Bridge0
    permit ip 0.0.0.0 0.0.0.0 10.31.52.0 255.255.255.0
    permit description admin->iot
    auto-delete
! 
access-list _WEBADMIN_Bridge2
    permit ip 0.0.0.0 0.0.0.0 10.31.50.0 255.255.255.0
    permit description iot->admin
    auto-delete
! 
access-list Bridge2_out
    permit ip 10.31.50.0 255.255.255.0 10.31.52.0 255.255.255.0
! 
interface Bridge0
    description "Admin network"
    ip address 10.31.50.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge0 in
!

interface Bridge2
    description "Avada IoT"
    ip address 10.31.52.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge2 in
    ip access-group Bridge2_out out
!

r13 · 31 октября, 2025

Выглядит коррекно, больше пока идей нет.

Fullkrum · Четверг в 19:44

Всех приветствую, такая же ситуация. Подскажите есть еще идеи?

Я решил свой вопрос, спасибо!
1. Перевел Bridge2 в private

2. В маршрутизации убрал установленную мною статическую настройку с доступом к подсети.

3. Оставил только правило в межсетевом экране доступ от Bridge1 в Bridge2 по ip

Изменено Четверг в 20:57 пользователем Fullkrum

vvzvlad · Четверг в 22:59

3 hours ago, Fullkrum said:

Всех приветствую, такая же ситуация. Подскажите есть еще идеи?

Я решил свой вопрос, спасибо!
1. Перевел Bridge2 в private

2. В маршрутизации убрал установленную мною статическую настройку с доступом к подсети.

3. Оставил только правило в межсетевом экране доступ от Bridge1 в Bridge2 по ip

А покажите конфиг, пожалуйста?

Fullkrum · Пятница в 07:20

8 часов назад, vvzvlad сказал:

А покажите конфиг, пожалуйста?

$$$ Model: Keenetic Giga",
"! $$$ Version: 2.06.1",

       "access-list _WEBADMIN_Bridge0",
       " permit ip 10.10.10.0 255.255.255.0 10.10.11.95 255.255.255.255",
       " auto-delete",
       "! ",
       "access-list _WEBADMIN_Bridge2",
       " auto-delete",
       "! ",
       "isolate-private",

       "interface Bridge0",
       " rename Home",
       " description Main",
       " dyndns nobind",
       " include GigabitEthernet0/Vlan1",
       " include WifiMaster0/AccessPoint0",
       " include WifiMaster1/AccessPoint0",
       " mac access-list type none",
       " security-level private",
       " ip address 10.10.10.10 255.255.255.0",
       " ip dhcp client dns-routes",
       " ip mtu 1500",
       " ip access-group _WEBADMIN_Bridge0 in",
       " ip name-servers",
       " band-steering",
       " up",
       "!",
       "interface Bridge2",
       " description IoT",
       " include GigabitEthernet0/Vlan2",
       " include WifiMaster0/AccessPoint2",
       " include WifiMaster1/AccessPoint1",
       " mac access-list type none",
       " security-level private",
       " ip address 10.10.11.11 255.255.255.0",
       " ip dhcp client dns-routes",
       " ip access-group _WEBADMIN_Bridge2 in",
       " no band-steering",
       " up",

Мне нужен был запрос к принтеру, чтобы все кто в сети Main могли отправить печать и получить скан с него. Я открыл прямо к 1 IP-адресу.

Войти

Связь между сегментами

Вопрос

vvzvlad

15 ответов на этот вопрос

Рекомендуемые сообщения

mrGhotius

vvzvlad

mrGhotius

vvzvlad

mrGhotius

vvzvlad

mrGhotius

r13

vvzvlad

r13

vvzvlad

r13

Fullkrum

vvzvlad

Fullkrum

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация