Связь между сегментами

[vvzvlad]

Вот у меня есть два сегмента: Admin c 10.31.50.0/24 и IoT c 10.31.52.0/24. Во втором всякие устройства, в первом мой ноут, с которого я хочу получать доступ к устройствам в IoT. Сегменты разделены по умолчанию, поэтому я иду в фаервол, захожу во вкладку Admin network, и делаю правило "Permit, source any, destination 10.31.52.0/24, protocol IP, enable true". Ииии... ничего. Пинги не проходят, интерфейс не открывается. Точнее, в какой-то момент сработало, но потом перестало.

Все устройства по Wifi подключаются. Я что-то делаю не так? 

[mrGhotius]

8 часов назад, vvzvlad сказал:

Я что-то делаю не так? 

А теперь тоже самое в сторону 10.31.50.0/24

[vvzvlad]

On 10/27/2025 at 5:27 PM, mrGhotius said:

А теперь тоже самое в сторону 10.31.50.0/24

Сделал такое же правило на вкладке IoT Network, permit, source any, destination 10.31.50.0/24, protocol IP. И ничего. 

[mrGhotius]

1 час назад, vvzvlad сказал:

Сделал такое же правило на вкладке IoT Network, permit, source any, destination 10.31.50.0/24, protocol IP. И ничего. 

Раздел Диагностика/Захват сетевых пакетов(устанавливаемый компонент) в помощь.

Изменено 29 октября, 2025 пользователем mrGhotius

[vvzvlad]

1 minute ago, mrGhotius said:

Раздел Диагностика/Захват сетевых пакетов(устанавливаемый компонент) в помощь.

Да я делал. Пинги в сегменте admin идут, а в iot не появляются. Соотвественно, ответ не приходит. 

[mrGhotius]

4 минуты назад, vvzvlad сказал:

Да я делал. Пинги в сегменте admin идут, а в iot не появляются. Соотвественно, ответ не приходит. 

Других правил для сегмента нет? Важен порядок запрещающих и разрешающих правил.

[vvzvlad]

Just now, mrGhotius said:

Других правил для сегмента нет? Важен порядок запрещающих и разрешающих правил.

неа, два правила вот во всей системе

[mrGhotius]

1 минуту назад, vvzvlad сказал:

неа, два правила вот во всей системе

Тогда обратитесь в ТП с предоставлением self-test'а

Изменено 29 октября, 2025 пользователем mrGhotius

[r13]

В 27.10.2025 в 09:24, vvzvlad сказал:

Вот у меня есть два сегмента: Admin c 10.31.50.0/24 и IoT c 10.31.52.0/24. Во втором всякие устройства, в первом мой ноут, с которого я хочу получать доступ к устройствам в IoT. Сегменты разделены по умолчанию, поэтому я иду в фаервол, захожу во вкладку Admin network, и делаю правило "Permit, source any, destination 10.31.52.0/24, protocol IP, enable true". Ииии... ничего. Пинги не проходят, интерфейс не открывается. Точнее, в какой-то момент сработало, но потом перестало.

Все устройства по Wifi подключаются. Я что-то делаю не так? 

Это в нотации кинетика "out" правило, оно в ui не настраивается, через cli

https://help.keenetic.com/hc/ru/articles/360001429839-Как-реализован-межсетевой-экран

[vvzvlad]

6 hours ago, r13 said:

Это в нотации кинетика "out" правило, оно в ui не настраивается, через cli

https://help.keenetic.com/hc/ru/articles/360001429839-Как-реализован-межсетевой-экран

Сделал вот так, но все не работает. 

interface Bridge0
    rename Home
    description "Admin network"
    security-level private
    ip address 10.31.50.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge0 in
    ip access-group _WEBADMIN_Bridge0 out
!
interface Bridge2
    description "Avada IoT"
    security-level protected
    ip address 10.31.52.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge2 in
    ip access-group _WEBADMIN_Bridge2 out
!

access-list _WEBADMIN_Bridge0
    permit ip 0.0.0.0 0.0.0.0 10.31.52.0 255.255.255.0
    permit description admin->iot
    auto-delete
! 
access-list _WEBADMIN_Bridge2
    permit ip 0.0.0.0 0.0.0.0 10.31.50.0 255.255.255.0
    permit description iot->admin
    auto-delete
! 

[r13]

Наоборот должно быть, out правила разрешают доступ в сегмент

Соответсвенно out правило для Bridge2 должно содержать permit ip 10.31.50.0 255.255.255.0 10.31.52.0 255.255.255.0

Плюс так секюрнее, только для адресов из Bridge0

Зы для Bridge0 правило не нужно

[vvzvlad]

8 hours ago, r13 said:

Наоборот должно быть, out правила разрешают доступ в сегмент

Соответсвенно out правило для Bridge2 должно содержать permit ip 10.31.50.0 255.255.255.0 10.31.52.0 255.255.255.0

И все еще не работает(

access-list _WEBADMIN_Bridge0
    permit ip 0.0.0.0 0.0.0.0 10.31.52.0 255.255.255.0
    permit description admin->iot
    auto-delete
! 
access-list _WEBADMIN_Bridge2
    permit ip 0.0.0.0 0.0.0.0 10.31.50.0 255.255.255.0
    permit description iot->admin
    auto-delete
! 
access-list Bridge2_out
    permit ip 10.31.50.0 255.255.255.0 10.31.52.0 255.255.255.0
! 
interface Bridge0
    description "Admin network"
    ip address 10.31.50.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge0 in
!

interface Bridge2
    description "Avada IoT"
    ip address 10.31.52.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge2 in
    ip access-group Bridge2_out out
!

 

[r13]

Выглядит коррекно, больше пока идей нет.

[Fullkrum]

Всех приветствую, такая же ситуация. Подскажите есть еще идеи?

Я решил свой вопрос, спасибо!
1. Перевел Bridge2 в private

2. В маршрутизации убрал установленную мною статическую настройку с доступом к подсети.

3. Оставил только правило в межсетевом экране доступ от Bridge1 в Bridge2 по ip

Изменено 1 января пользователем Fullkrum

[vvzvlad]

3 hours ago, Fullkrum said:

Всех приветствую, такая же ситуация. Подскажите есть еще идеи?

Я решил свой вопрос, спасибо!
1. Перевел Bridge2 в private

2. В маршрутизации убрал установленную мною статическую настройку с доступом к подсети.

3. Оставил только правило в межсетевом экране доступ от Bridge1 в Bridge2 по ip

А покажите конфиг, пожалуйста?

[Fullkrum]

8 часов назад, vvzvlad сказал:

А покажите конфиг, пожалуйста?

 $$$ Model: Keenetic Giga",
        "! $$$ Version: 2.06.1",

 

        "access-list _WEBADMIN_Bridge0",
        "    permit ip 10.10.10.0 255.255.255.0 10.10.11.95 255.255.255.255",
        "    auto-delete",
        "! ",
        "access-list _WEBADMIN_Bridge2",
        "    auto-delete",
        "! ",
        "isolate-private",

 

        "interface Bridge0",
        "    rename Home",
        "    description Main",
        "    dyndns nobind",
        "    include GigabitEthernet0/Vlan1",
        "    include WifiMaster0/AccessPoint0",
        "    include WifiMaster1/AccessPoint0",
        "    mac access-list type none",
        "    security-level private",
        "    ip address 10.10.10.10 255.255.255.0",
        "    ip dhcp client dns-routes",
        "    ip mtu 1500",
        "    ip access-group _WEBADMIN_Bridge0 in",
        "    ip name-servers",
        "    band-steering",
        "    up",
        "!",
        "interface Bridge2",
        "    description IoT",
        "    include GigabitEthernet0/Vlan2",
        "    include WifiMaster0/AccessPoint2",
        "    include WifiMaster1/AccessPoint1",
        "    mac access-list type none",
        "    security-level private",
        "    ip address 10.10.11.11 255.255.255.0",
        "    ip dhcp client dns-routes",
        "    ip access-group _WEBADMIN_Bridge2 in",
        "    no band-steering",
        "    up",
 

Мне нужен был запрос к принтеру, чтобы все кто в сети Main могли отправить печать и получить скан с него. Я открыл прямо к 1 IP-адресу. 

[ala-a-din]

Подобная ситуация возникла и у меня:

В роутер подключен кабель провайдера, сделан проброс портов 80:80 и 443:443 на реверс прокси (192.168.1.100), который маршрутизирует трафик на мои сервисы развернутые в гипервизоре Proxmox у которого IP 192.168.1.99
Связь роутер -> гипервизор по кабелю, начало в LAN1 второй в коммутатор. С коммутатора кабель на гипервизор (192.168.1.99) и на ПК (192.168.1.2).

Все сервисы находятся в одной локальной сети "Home" и имеют сеть 192.168.1.0/24 Так же есть вторая сеть IoT 192.168.2.0/24 в которой подключены разные устройства умного дома.
Возникла необходимость виртуальную машину с Home Assistant перекинуть в сеть 192.168.2.0/24 чтобы так сказать весь IoT был в одном сегменте сети.
Но как известно сегменты изолированы друг от друга. Если я просто меняю IP Home Assistant на 192.168.2.100 то:
1 traefik не может достучатся до home assistant а home assistant ответить traefik.
2 и даже находясь в IoT сети не могу попасть в него по IP 192.168.2.100:8123
Цель следующая -дать Traefik возможность проксировать трафик на homeassistant когда тот в сети IoT.
Надеюсь подробно изложил и показал свой вопрос.

Если эта задача решаема, то прошу описать решение максимально подробно - для самых маленьких так сказать.

[Leshiyart]

если цель закинуть виртуальную машину в другой сегмент то надо проставить порту доп сегмента влан тег, и у виртуальной машины так же его указать.
+ настроить межсетевой экран для доступа реверс прокси(или вообще всего сегмента) к другому сегменту (по умолчанию доступ между сегментами заблокирован)

Изменено Среда в 07:28 пользователем Leshiyart

[ala-a-din]

Спасибо коллега - попробую.

[ala-a-din]

Почему-то не могу изменить VLAN ID если создать еще один сегмент, то там сразу пишет 4 и можно изменить на другую.

[Leshiyart]

54 минуты назад, ala-a-din сказал:

Почему-то не могу изменить VLAN ID если создать еще один сегмент, то там сразу пишет 4 и можно изменить на другую.

Так ты портам не поставил признак - входит в сегмент с влан, по тому и нет

выше скрин сравни и увидишь разницу

Изменено Среда в 15:44 пользователем Leshiyart

[KeenTaur]

3 часа назад, ala-a-din сказал:

Почему-то не могу изменить VLAN ID

У Кинетиков домашний сегмент всегда в vlan1. Говорят, можно попробовать изменить через cli, но может слетать при открытии веб-интерфейса. Я даже уточнять не стал - ненадежный вариант.

[Leshiyart]

44 минуты назад, KeenTaur сказал:

4 часа назад, ala-a-din сказал:

 

У Кинетиков домашний сегмент всегда в vlan1. Говорят, можно попробовать изменить через cli, но может слетать при открытии веб-интерфейса. Я даже уточнять не стал - ненадежный вариант.

Не надо трогать домашний, речь про дополнительные 

[ala-a-din]

Спасибо коллега, вы мне очень помогли.

Единственный нюанс, это то, что HA видит не реальный IP Traefik а IP роутера. Тоесть мне в адресе доверенного прокси пришлось указать:

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 192.168.200.1

Как сказала мне ГПТ сеть: 

Keenetic делает SNAT при переходе между сегментами, поэтому HA видит источником 192.168.200.1.

Это укладывается в логику Keenetic: команда/опция NAT для сегмента означает, что пакеты “из этой сети, проходящие через роутер”, будут подменяться (spoofing/translation), а не только “в интернет”.

Ну и 2 варианта решения:

Вариант 1 (самый простой): оставить SNAT, но HA будет видеть реальный IP по X-Forwarded-For

Раз вы уже выяснили, что “прокси” для HA = 192.168.200.1, просто добавьте 192.168.200.1 в trusted_proxies (что вы и сделали) — тогда HA начнёт доверять X-Forwarded-For, который ставит Traefik, и в логах/банах будет реальный клиентский IP.

Минус: HA “доверяет” роутеру как прокси. Это нормально, если порт 8123 недоступен напрямую для клиентов IoT, а только через Traefik/нужные хосты.

Вариант 2 (правильнее в плане архитектуры): убрать SNAT между сегментами, оставить NAT только в интернет

Тогда HA будет видеть источник = Traefik (192.168.100.200), и доверять можно будет только Traefik, как раньше.

На Keenetic это делается через CLI: включаем NAT “между интерфейсами” только в сторону WAN, и отключаем ip nat на локальных сегментах. Именно такой рецепт дают на форуме Keenetic:

сделать ip static <BridgeX> ISP

затем no ip nat <BridgeX>

Что делать по шагам (CLI Keenetic)

Узнайте имена интерфейсов (обычно WAN = ISP, домашний = Home/Bridge0, IoT = BridgeX):

посмотрите конфиг (как в примере на форуме) или show interface, show running-config.

В конфигурационном режиме:

configure ip static Home ISP ip static BridgeX ISP # ваш IoT-сегмент с 192.168.200.0/24 no ip nat Home no ip nat BridgeX system configuration save

Если у вас интернет не через ISP, а через PPPoE0/L2TP0/... — NAT надо “прикрутить” к вашему WAN-интерфейсу (вместо ISP).

Проверка:

после этого запросы из 192.168.100.0/24 в 192.168.200.0/24 должны идти без подмены source, и HA перестанет видеть 192.168.200.1.

в HA можно вернуть trusted_proxies обратно на только 192.168.100.200.

Важно

После таких правок проверьте пробросы портов/доступ извне/другие правила — NAT-модель меняется.

Откат простой: вернуть ip nat Home / ip nat BridgeX (если нужно).

Если кто понимает о чем это разжуйте пожалуйста.

Изменено Среда в 19:25 пользователем ala-a-din

[KeenTaur]

Фраза "Почему-то не могу изменить VLAN ID" может относиться только к домашнему сегменту. Я пояснил, что так и есть. Да, для дополнительных сегментов VLAN ID можно задать. Главное, не забыть довести эти vlan'ы до нужных клиентов.