маршрутизация между сегментами

[AL_O]

Доброго времени суток.

Допускаю что вопрос возможно не столько касается оборудования keenetic и его ОС, а скорее моих навыков работы, но как то не получается раскурить ситуацию - возможно найдёте уместным подсказать мне.

Упрощённая до предела схема моей сети такова:

Задача: получить доступ к оборудованию, находящемуся в другом сегменте сети.

Без каких либо дополнительных настроек компьютер пингует адрес маршрутизатора во втором сегменте (.9.12) хотя я не понимаю каким образом... Больше ничего НЕ из своего сегмента не пингует, разумеется.

Задать правила сетевого экрана, пропускающие пакеты из первой подсети во вторую пробовали (применительно к первому сегменту), задать статичный маршрут до сети 192.168.8.0 со шлюзом .9.12 пробовали, прописать на компьютере route add 192.168.8.0 mask 255.255.252.0 192.168.9.12 пробовали. Всё вышеперечисленное одновременно тоже, соответственно, пробовали.

Подскажите пожалуйста, в какую сторону копать.

Спасибо.

[ndm]

2 hours ago, AL_O said:

как то не получается раскурить ситуацию - возможно найдёте уместным подсказать мне

пришлите self-test, по нему проще подсказать.

[KorDen]

4 часа назад, AL_O сказал:

Подскажите пожалуйста, в какую сторону копать. 

Для начала

no isolate-private

 

[metahor]

10 часов назад, AL_O сказал:

 

Подскажите пожалуйста, в какую сторону копать.

 

https://help.keenetic.com/hc/ru/articles/214471845-Создание-в-локальной-сети-интернет-центра-нескольких-независимых-подсетей-с-помощью-VLAN

[metahor]

И откуда взялся адрес из сети 8.3?  Зачем такая большая подсеть 252 ?

[AL_O]

В 13.08.2018 в 19:40, KorDen сказал:

Для начала

no isolate-private

 

спасибо.

 

сделать получилось, но по этой статье: https://help.keenetic.com/hc/ru/articles/213968089-Настройка-резервирования-подключения-между-двумя-интернет-центрами

на вышеобозначенном роутере прописали no isolate-private (неожиданный момент, да ещё и через телнет... хотя бы подписано бы было в интерфейсе что по умолчанию связи нема)

на роутере, являющемся шлюзом для сети 192.168.8.0\22 прописали статичный маршрут к 192.168.3.0\24 и ещё на его сетевом экране трафик разрешили.

всё завелось.

В 14.08.2018 в 01:21, metahor сказал:

И откуда взялся адрес из сети 8.3?  Зачем такая большая подсеть 252 ?

как бывает в маленьких, но очень гордых, и считающих себя большими, конторах - так исторически сложилось ?

Изменено 15 августа, 2018 пользователем AL_O

[KorDen]

2 часа назад, AL_O сказал:

на вышеобозначенном роутере прописали no isolate-private (неожиданный момент, да ещё и через телнет... хотя бы подписано бы было в интерфейсе что по умолчанию связи нема) 

no isolate-private полностью вырубает фильтрацию в фаерволе между разными private/protected сетями. Это отправная точка понять что оно таки работает с точки зрения маршрутизации. Если же изоляция каких-то сегментов между собой нужна - лучше его включить обратно и разбираться с ACL.

Есть предположение, что в вашем исходном варианте ACL нужны не только на интерфейс первой сети, но и на интерфейс второй.

Маршруты прописывать дополнительно никакие не нужно, если у ПК дефолтроутом кинетик и у него эта сетка directly connected-сегмент, пускай даже и с внешним DHCP.

Изменено 15 августа, 2018 пользователем KorDen

[AL_O]

А теперь ну очень внезапный и глупый вопрос:

Вот в этом режиме работы с двумя сегментами без изоляции... У меня DHCP сервера из разных сетей конфликтовать не будут?

Запросы такого рода оно тоже пропускает?

67-68 порты намеренно закрыть стоит?

Изменено 15 августа, 2018 пользователем AL_O

[Le ecureuil]

В 15.08.2018 в 16:09, AL_O сказал:

А теперь ну очень внезапный и глупый вопрос:

Вот в этом режиме работы с двумя сегментами без изоляции... У меня DHCP сервера из разных сетей конфликтовать не будут?

Запросы такого рода оно тоже пропускает?

67-68 порты намеренно закрыть стоит?

dhcp работает на L2 и скорее всего конфликтовать и даже просачиваться не будет.