Связь между сегментами

[vvzvlad]

Вот у меня есть два сегмента: Admin c 10.31.50.0/24 и IoT c 10.31.52.0/24. Во втором всякие устройства, в первом мой ноут, с которого я хочу получать доступ к устройствам в IoT. Сегменты разделены по умолчанию, поэтому я иду в фаервол, захожу во вкладку Admin network, и делаю правило "Permit, source any, destination 10.31.52.0/24, protocol IP, enable true". Ииии... ничего. Пинги не проходят, интерфейс не открывается. Точнее, в какой-то момент сработало, но потом перестало.

Все устройства по Wifi подключаются. Я что-то делаю не так? 

[mrGhotius]

8 часов назад, vvzvlad сказал:

Я что-то делаю не так? 

А теперь тоже самое в сторону 10.31.50.0/24

[vvzvlad]

On 10/27/2025 at 5:27 PM, mrGhotius said:

А теперь тоже самое в сторону 10.31.50.0/24

Сделал такое же правило на вкладке IoT Network, permit, source any, destination 10.31.50.0/24, protocol IP. И ничего. 

[mrGhotius]

1 час назад, vvzvlad сказал:

Сделал такое же правило на вкладке IoT Network, permit, source any, destination 10.31.50.0/24, protocol IP. И ничего. 

Раздел Диагностика/Захват сетевых пакетов(устанавливаемый компонент) в помощь.

Изменено 29 октября, 2025 пользователем mrGhotius

[vvzvlad]

1 minute ago, mrGhotius said:

Раздел Диагностика/Захват сетевых пакетов(устанавливаемый компонент) в помощь.

Да я делал. Пинги в сегменте admin идут, а в iot не появляются. Соотвественно, ответ не приходит. 

[mrGhotius]

4 минуты назад, vvzvlad сказал:

Да я делал. Пинги в сегменте admin идут, а в iot не появляются. Соотвественно, ответ не приходит. 

Других правил для сегмента нет? Важен порядок запрещающих и разрешающих правил.

[vvzvlad]

Just now, mrGhotius said:

Других правил для сегмента нет? Важен порядок запрещающих и разрешающих правил.

неа, два правила вот во всей системе

[mrGhotius]

1 минуту назад, vvzvlad сказал:

неа, два правила вот во всей системе

Тогда обратитесь в ТП с предоставлением self-test'а

Изменено 29 октября, 2025 пользователем mrGhotius

[r13]

В 27.10.2025 в 09:24, vvzvlad сказал:

Вот у меня есть два сегмента: Admin c 10.31.50.0/24 и IoT c 10.31.52.0/24. Во втором всякие устройства, в первом мой ноут, с которого я хочу получать доступ к устройствам в IoT. Сегменты разделены по умолчанию, поэтому я иду в фаервол, захожу во вкладку Admin network, и делаю правило "Permit, source any, destination 10.31.52.0/24, protocol IP, enable true". Ииии... ничего. Пинги не проходят, интерфейс не открывается. Точнее, в какой-то момент сработало, но потом перестало.

Все устройства по Wifi подключаются. Я что-то делаю не так? 

Это в нотации кинетика "out" правило, оно в ui не настраивается, через cli

https://help.keenetic.com/hc/ru/articles/360001429839-Как-реализован-межсетевой-экран

[vvzvlad]

6 hours ago, r13 said:

Это в нотации кинетика "out" правило, оно в ui не настраивается, через cli

https://help.keenetic.com/hc/ru/articles/360001429839-Как-реализован-межсетевой-экран

Сделал вот так, но все не работает. 

interface Bridge0
    rename Home
    description "Admin network"
    security-level private
    ip address 10.31.50.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge0 in
    ip access-group _WEBADMIN_Bridge0 out
!
interface Bridge2
    description "Avada IoT"
    security-level protected
    ip address 10.31.52.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge2 in
    ip access-group _WEBADMIN_Bridge2 out
!

access-list _WEBADMIN_Bridge0
    permit ip 0.0.0.0 0.0.0.0 10.31.52.0 255.255.255.0
    permit description admin->iot
    auto-delete
! 
access-list _WEBADMIN_Bridge2
    permit ip 0.0.0.0 0.0.0.0 10.31.50.0 255.255.255.0
    permit description iot->admin
    auto-delete
! 

[r13]

Наоборот должно быть, out правила разрешают доступ в сегмент

Соответсвенно out правило для Bridge2 должно содержать permit ip 10.31.50.0 255.255.255.0 10.31.52.0 255.255.255.0

Плюс так секюрнее, только для адресов из Bridge0

Зы для Bridge0 правило не нужно

[vvzvlad]

8 hours ago, r13 said:

Наоборот должно быть, out правила разрешают доступ в сегмент

Соответсвенно out правило для Bridge2 должно содержать permit ip 10.31.50.0 255.255.255.0 10.31.52.0 255.255.255.0

И все еще не работает(

access-list _WEBADMIN_Bridge0
    permit ip 0.0.0.0 0.0.0.0 10.31.52.0 255.255.255.0
    permit description admin->iot
    auto-delete
! 
access-list _WEBADMIN_Bridge2
    permit ip 0.0.0.0 0.0.0.0 10.31.50.0 255.255.255.0
    permit description iot->admin
    auto-delete
! 
access-list Bridge2_out
    permit ip 10.31.50.0 255.255.255.0 10.31.52.0 255.255.255.0
! 
interface Bridge0
    description "Admin network"
    ip address 10.31.50.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge0 in
!

interface Bridge2
    description "Avada IoT"
    ip address 10.31.52.1 255.255.255.0
    ip access-group _WEBADMIN_Bridge2 in
    ip access-group Bridge2_out out
!

 

[r13]

Выглядит коррекно, больше пока идей нет.

[Fullkrum]

Всех приветствую, такая же ситуация. Подскажите есть еще идеи?

Я решил свой вопрос, спасибо!
1. Перевел Bridge2 в private

2. В маршрутизации убрал установленную мною статическую настройку с доступом к подсети.

3. Оставил только правило в межсетевом экране доступ от Bridge1 в Bridge2 по ip

Изменено 1 января пользователем Fullkrum

[vvzvlad]

3 hours ago, Fullkrum said:

Всех приветствую, такая же ситуация. Подскажите есть еще идеи?

Я решил свой вопрос, спасибо!
1. Перевел Bridge2 в private

2. В маршрутизации убрал установленную мною статическую настройку с доступом к подсети.

3. Оставил только правило в межсетевом экране доступ от Bridge1 в Bridge2 по ip

А покажите конфиг, пожалуйста?

[Fullkrum]

8 часов назад, vvzvlad сказал:

А покажите конфиг, пожалуйста?

 $$$ Model: Keenetic Giga",
        "! $$$ Version: 2.06.1",

 

        "access-list _WEBADMIN_Bridge0",
        "    permit ip 10.10.10.0 255.255.255.0 10.10.11.95 255.255.255.255",
        "    auto-delete",
        "! ",
        "access-list _WEBADMIN_Bridge2",
        "    auto-delete",
        "! ",
        "isolate-private",

 

        "interface Bridge0",
        "    rename Home",
        "    description Main",
        "    dyndns nobind",
        "    include GigabitEthernet0/Vlan1",
        "    include WifiMaster0/AccessPoint0",
        "    include WifiMaster1/AccessPoint0",
        "    mac access-list type none",
        "    security-level private",
        "    ip address 10.10.10.10 255.255.255.0",
        "    ip dhcp client dns-routes",
        "    ip mtu 1500",
        "    ip access-group _WEBADMIN_Bridge0 in",
        "    ip name-servers",
        "    band-steering",
        "    up",
        "!",
        "interface Bridge2",
        "    description IoT",
        "    include GigabitEthernet0/Vlan2",
        "    include WifiMaster0/AccessPoint2",
        "    include WifiMaster1/AccessPoint1",
        "    mac access-list type none",
        "    security-level private",
        "    ip address 10.10.11.11 255.255.255.0",
        "    ip dhcp client dns-routes",
        "    ip access-group _WEBADMIN_Bridge2 in",
        "    no band-steering",
        "    up",
 

Мне нужен был запрос к принтеру, чтобы все кто в сети Main могли отправить печать и получить скан с него. Я открыл прямо к 1 IP-адресу. 

[ala-a-din]

Подобная ситуация возникла и у меня:

В роутер подключен кабель провайдера, сделан проброс портов 80:80 и 443:443 на реверс прокси (192.168.1.100), который маршрутизирует трафик на мои сервисы развернутые в гипервизоре Proxmox у которого IP 192.168.1.99
Связь роутер -> гипервизор по кабелю, начало в LAN1 второй в коммутатор. С коммутатора кабель на гипервизор (192.168.1.99) и на ПК (192.168.1.2).

Все сервисы находятся в одной локальной сети "Home" и имеют сеть 192.168.1.0/24 Так же есть вторая сеть IoT 192.168.2.0/24 в которой подключены разные устройства умного дома.
Возникла необходимость виртуальную машину с Home Assistant перекинуть в сеть 192.168.2.0/24 чтобы так сказать весь IoT был в одном сегменте сети.
Но как известно сегменты изолированы друг от друга. Если я просто меняю IP Home Assistant на 192.168.2.100 то:
1 traefik не может достучатся до home assistant а home assistant ответить traefik.
2 и даже находясь в IoT сети не могу попасть в него по IP 192.168.2.100:8123
Цель следующая -дать Traefik возможность проксировать трафик на homeassistant когда тот в сети IoT.
Надеюсь подробно изложил и показал свой вопрос.

Если эта задача решаема, то прошу описать решение максимально подробно - для самых маленьких так сказать.

[Leshiyart]

если цель закинуть виртуальную машину в другой сегмент то надо проставить порту доп сегмента влан тег, и у виртуальной машины так же его указать.
+ настроить межсетевой экран для доступа реверс прокси(или вообще всего сегмента) к другому сегменту (по умолчанию доступ между сегментами заблокирован)

Изменено 21 января пользователем Leshiyart

[ala-a-din]

Спасибо коллега - попробую.

[ala-a-din]

Почему-то не могу изменить VLAN ID если создать еще один сегмент, то там сразу пишет 4 и можно изменить на другую.

[Leshiyart]

54 минуты назад, ala-a-din сказал:

Почему-то не могу изменить VLAN ID если создать еще один сегмент, то там сразу пишет 4 и можно изменить на другую.

Так ты портам не поставил признак - входит в сегмент с влан, по тому и нет

выше скрин сравни и увидишь разницу

Изменено 21 января пользователем Leshiyart

[KeenTaur]

3 часа назад, ala-a-din сказал:

Почему-то не могу изменить VLAN ID

У Кинетиков домашний сегмент всегда в vlan1. Говорят, можно попробовать изменить через cli, но может слетать при открытии веб-интерфейса. Я даже уточнять не стал - ненадежный вариант.

[Leshiyart]

44 минуты назад, KeenTaur сказал:

4 часа назад, ala-a-din сказал:

 

У Кинетиков домашний сегмент всегда в vlan1. Говорят, можно попробовать изменить через cli, но может слетать при открытии веб-интерфейса. Я даже уточнять не стал - ненадежный вариант.

Не надо трогать домашний, речь про дополнительные 

[ala-a-din]

Спасибо коллега, вы мне очень помогли.

Единственный нюанс, это то, что HA видит не реальный IP Traefik а IP роутера. Тоесть мне в адресе доверенного прокси пришлось указать:

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 192.168.200.1

Как сказала мне ГПТ сеть: 

Keenetic делает SNAT при переходе между сегментами, поэтому HA видит источником 192.168.200.1.

Это укладывается в логику Keenetic: команда/опция NAT для сегмента означает, что пакеты “из этой сети, проходящие через роутер”, будут подменяться (spoofing/translation), а не только “в интернет”.

Ну и 2 варианта решения:

Вариант 1 (самый простой): оставить SNAT, но HA будет видеть реальный IP по X-Forwarded-For

Раз вы уже выяснили, что “прокси” для HA = 192.168.200.1, просто добавьте 192.168.200.1 в trusted_proxies (что вы и сделали) — тогда HA начнёт доверять X-Forwarded-For, который ставит Traefik, и в логах/банах будет реальный клиентский IP.

Минус: HA “доверяет” роутеру как прокси. Это нормально, если порт 8123 недоступен напрямую для клиентов IoT, а только через Traefik/нужные хосты.

Вариант 2 (правильнее в плане архитектуры): убрать SNAT между сегментами, оставить NAT только в интернет

Тогда HA будет видеть источник = Traefik (192.168.100.200), и доверять можно будет только Traefik, как раньше.

На Keenetic это делается через CLI: включаем NAT “между интерфейсами” только в сторону WAN, и отключаем ip nat на локальных сегментах. Именно такой рецепт дают на форуме Keenetic:

сделать ip static <BridgeX> ISP

затем no ip nat <BridgeX>

Что делать по шагам (CLI Keenetic)

Узнайте имена интерфейсов (обычно WAN = ISP, домашний = Home/Bridge0, IoT = BridgeX):

посмотрите конфиг (как в примере на форуме) или show interface, show running-config.

В конфигурационном режиме:

configure ip static Home ISP ip static BridgeX ISP # ваш IoT-сегмент с 192.168.200.0/24 no ip nat Home no ip nat BridgeX system configuration save

Если у вас интернет не через ISP, а через PPPoE0/L2TP0/... — NAT надо “прикрутить” к вашему WAN-интерфейсу (вместо ISP).

Проверка:

после этого запросы из 192.168.100.0/24 в 192.168.200.0/24 должны идти без подмены source, и HA перестанет видеть 192.168.200.1.

в HA можно вернуть trusted_proxies обратно на только 192.168.100.200.

Важно

После таких правок проверьте пробросы портов/доступ извне/другие правила — NAT-модель меняется.

Откат простой: вернуть ip nat Home / ip nat BridgeX (если нужно).

Если кто понимает о чем это разжуйте пожалуйста.

Изменено 21 января пользователем ala-a-din

[KeenTaur]

Фраза "Почему-то не могу изменить VLAN ID" может относиться только к домашнему сегменту. Я пояснил, что так и есть. Да, для дополнительных сегментов VLAN ID можно задать. Главное, не забыть довести эти vlan'ы до нужных клиентов.

[ulvi]

В 21.01.2026 в 23:21, KeenTaur сказал:

Фраза "Почему-то не могу изменить VLAN ID" может относиться только к домашнему сегменту. Я пояснил, что так и есть. Да, для дополнительных сегментов VLAN ID можно задать. Главное, не забыть довести эти vlan'ы до нужных клиентов.

 

 

Здравствуйте. У меня сейчас интернет GPON. Переводил GPON-модем в режим bridge, интернет от провайдера и на самом GPON-модеме пропадает. Данные PPPoE я прописал на основном устройстве Keenetic Titan. Keenetic Challenger подключил как усилитель (репитер). Все норм

 

Но я не могу разобраться с настройками ниже — читал сайт Keenetic, всё равно не понял.

1. На первом скриншоте я хочу добавить мой ПК (подключён по LAN-кабелю) и телефон (подключён по Wi-Fi) в отдельный порт и VLAN/сегмент, чтобы было безопаснее: если на одном устройстве появится вирус, чтобы он не смог заразить ПК или телефон.

2. На втором скриншоте — гостевой сегмент. Какими должны быть его настройки?

Также отмечу, что иногда устройства при подключении не могут получить IP-адрес. Только после 4–5 попыток получают. Это происходит не всегда, а редко. Причём и в «Домашней сети», и в гостевой сети.

[Leshiyart]

https://support.netcraze.ru/ultra/nc-1812/ru/14628.html#14628-сегменты-сети

[KeenTaur]

11 часов назад, ulvi сказал:

Здравствуйте. У меня сейчас интернет GPON. Переводил GPON-модем в режим bridge, интернет от провайдера и на самом GPON-модеме пропадает. Данные PPPoE я прописал на основном устройстве Keenetic Titan. Keenetic Challenger подключил как усилитель (репитер). Все норм

 

Но я не могу разобраться с настройками ниже — читал сайт Keenetic, всё равно не понял.

1. На первом скриншоте я хочу добавить мой ПК (подключён по LAN-кабелю) и телефон (подключён по Wi-Fi) в отдельный порт и VLAN/сегмент, чтобы было безопаснее: если на одном устройстве появится вирус, чтобы он не смог заразить ПК или телефон.

2. На втором скриншоте — гостевой сегмент. Какими должны быть его настройки?

Также отмечу, что иногда устройства при подключении не могут получить IP-адрес. Только после 4–5 попыток получают. Это происходит не всегда, а редко. Причём и в «Домашней сети», и в гостевой сети.

Здравствуйте! Хотелось бы уточнить несколько моментов.

А. По подключению к провайдеру, как я понимаю, вопросов нет, интернет на Титане работает?

Б. Челленджер подключен как обычный усилитель/репитер или создана WiFi-система? И как Челленджер подключен к Титану? По WiFi или проводом? Если проводом, то в какой порт Титана и каковы настройки порта (Порты и VLAN) Челленджера в сторону Титана?

1. В какой порт на первом скриншоте подключен ПК? Правильно я понимаю, что у вас достаточно много и других устройств в вашей сети, и именно от них вы хотите отделить ПК и телефон? Да, от некоторых вирусов это действительно может дать дополнительную защиту, но антивирус на устройствах все равно не заменит. В этом случае, помимо Домашней сети и guest, вам надо создать еще один сегмент, задать, что порт для ПК Входит в этот сегмент и для телефона настроить WiFi в этом сегменте.

Спойлер

 

 

Обратите внимание, когда будете назначать VLAN ID и адресацию, они должны быть уникальны.

Компьютер подключен к порту 3 моей Giga. Кроме того, в моем случае, на этом моем компьютере работает несколько виртуальных машин в сегменте VM, поэтому в порт 3 также заведен VLAN 23 в тегированном виде. Если вам подобное не требуется, просто не обращайте внимания на строку для сегмента VM.

 

Ретранслятор wifi-системы может быть подключен к портам 1, 2 или 4 на моем скриншоте: т.е. ретранслятору, подключенному проводом к контроллеру в wifi-системе, необходимо передавать Домашний сегмент без тега и остальные сегменты с тегом. Точно так же должен быть настрое порт ретранслятора, который подключен к контроллеру.

 

2. Настройки Гостевого сегмента вполне могут быть и такими, как у вас, если гостям не нужен диапазон 5ГГц. Более того, настройки гостевой сети как у вас (без роуминга FT и без BandStearing) дадут возможность проверить, почему к основной сети не могут подключиться некоторые старые wifi-устройства.

По поводу неполучения IP-адресов устройствами. Хорошо бы сначала прояснить вопросы из раздела "Б", потом понять через какое и ваших устройств (Титан или Челленджер) клиенты пытаются подключиться.

 

Пока набирал текст уже дали полезную ссылку. Ну а я сейчас попробую поискать подходящий скриншот для п."1."

PS добавил скриншоты (правда, с Giga KN-1012) и пояснения под спойлер.

Изменено 30 января пользователем KeenTaur

[ulvi]

2 часа назад, KeenTaur сказал:

А. По подключению к провайдеру, как я понимаю, вопросов нет, интернет на Титане работает?

 

работает

 

2 часа назад, KeenTaur сказал:

Б. Челленджер подключен как обычный усилитель/репитер или создана WiFi-система? И как Челленджер подключен к Титану? По WiFi или проводом? Если проводом, то в какой порт Титана и каковы настройки порта (Порты и VLAN) Челленджера в сторону Титана?

 

challenger подключен как "B" (Ретранслятор)  проводом, порт2  на титан.  .   Порт 0 (2,5gb)  gpon modem nokia от провайдер (bridge mode).  Порт 5 (10gb)  ПК

Спойлер

 

 

[Leshiyart]

7 минут назад, ulvi сказал:

порт2  на титан

на скринах выше у этого порта нет тега на гостевой сети, вот оно и не работает T поставьте (входит в сегмент с влан)

Изменено 30 января пользователем Leshiyart

[KeenTaur]

Сделайте то, что говорит Leshiyart

40 минут назад, Leshiyart сказал:

на скринах выше у этого порта нет тега на гостевой сети, вот оно и не работает T поставьте (входит в сегмент с влан)

Кроме того, если будете создавать дополнительный отдельный сегмент ("New") для ПК и телефона, не забудьте и его добавить с тегом на порт для ретранслятора - если ПК стационарный, то с телефоном-то вы будете наверняка перемещаться между Титаном и Челленджером.

А еще, разверните "Показать другие сегменты" на Челленджере и убедитесь, что гостевой сегмент на нем также разрешен с тегом (это должно было настроится автоматически, но мало ли). Когда добавите сегмент "New", он также должен появиться с тегом на порту Челленджера через некоторое время (после синхронизации с контроллером wifi).

Изменено 30 января пользователем KeenTaur