Маршрутизация между сегментами

[masterfiles]

Здравствуйте!

Не получается настроить маршрутизацию внутри роутера KN-1010.

Имеется подсеть 192.168.0.0 (домашняя сеть) и подсеть 192.168.1.0 (дополнительный сегмент). Для 192.168.1.0 выделен отдельный порт со своим DHCP, в него подключено оборудование, которое получает настройки от DHCP 192.168.1.2-255, 255.255.255.0 192.168.1.1

Из-под 192.168.0.0 идут пинги на любое оборудование в подсети 1.0, а наоборот - нет.

no isolate-private активен. Пытался создавать различные маршруты и до устройств в сети 192.168.0.0, и до самой подсети, безрезультатно. Максимум, получал ответ от 192.168.1.1: Заданный узел недоступен.

Без каких-либо маршрутов получается превышен интервал ожидания для запроса.

 Tracert с компьютера в подсети 1.0 дальше 192.168.1.1 не идет

Что я делаю не так, подскажите пожалуйста!

[dexter]

 security-level: protected

Вот и ответ. Меняйте на 

security-level: private

[masterfiles]

Никто не знает что можно сделать?

[dexter]

Шлюз на хостах обоих подсетей прописан? Все должно работать без доп маршрутов.

no isolate-private - оставляйте в конфигурации пока не заработает.

[masterfiles]

8 минут назад, dexter сказал:

Шлюз на хостах обоих подсетей прописан? Все должно работать без доп маршрутов.

no isolate-private - оставляйте в конфигурации пока не заработает.

Да, в подсети 192.168.0.0 шлюз 192.168.0.1; в подсети 192.168.1.0 соответственно 1.1;

Из-под 0.0 видно 1.0, а наоборот - нет. 

[Mamay]

1 час назад, masterfiles сказал:

Никто не знает что можно сделать?

Сходить по прямому назначению к официалам...

[dexter]

Маршрутизация работает. Иначе б из под 0.0 так же б не пинговалось, а у вас ответ приходит, а значит из 1.0 в 0.0 обратно пакеты доходят.

У вас никаких запрещающих правил нет на роутере? И на том оборудовании, из подсети 0.0, которое вы пытаетесь пинговать нет случаем фаервола? Похоже, что закрыты ICMP для входящих. 

[masterfiles]

6 минут назад, dexter сказал:

Маршрутизация работает. Иначе б из под 0.0 так же б не пинговалось, а у вас ответ приходит, а значит из 1.0 в 0.0 обратно пакеты доходят.

У вас никаких запрещающих правил нет на роутере? И на том оборудовании, из подсети 0.0, которое вы пытаетесь пинговать нет случаем фаервола? Похоже, что закрыты ICMP для входящих. 

В сети 1.0 висит 20 устройств, в том числе ПК, ip-регистратор и куча камер. Ни с одного из них пинг в сеть 0.0 не уходит.

В сети 0.0 тоже есть несколько камер, они отлично пингуются из-под 0.0 и с самого роутера.

Тот же самый ПК втыкаю в порт, на котором подсеть 0.0 - все пинги идут в обе подсети.

На роутере забанен только один порт 445 во все стороны. Если правило отключить - все равно не работает.

Могу даже с ПК из-под 0.0 подключиться по RDP к ПК в 1.0. Все работает прекрасно. Но в обратную сторону - нет!

Изменено 21 февраля, 2020 пользователем masterfiles

[KorDen]

А у этого дополнительного сегмента галка "Использовать NAT" стоит?

[dexter]

А какой security-level у сети 1.0?

[masterfiles]

3 минуты назад, dexter сказал:

А какой security-level у сети 1.0?

address: 192.168.1.1

             mask: 255.255.255.0

           uptime: 500453

           global: no

   security-level: protected

address: 192.168.0.1
             mask: 255.255.255.0
           uptime: 500456
           global: no
   security-level: private

 

[masterfiles]

12 минуты назад, dexter сказал:

 security-level: protected

Вот и ответ. Меняйте на 

security-level: private

Спасибо! Все заработало как надо!

Буду знать теперь.