Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Маршрутизация между сегментами

masterfiles

Asked by masterfiles,

 Share

Question

masterfiles Newbie

masterfiles

Posted
Posted

Здравствуйте!

Не получается настроить маршрутизацию внутри роутера KN-1010.

Имеется подсеть 192.168.0.0 (домашняя сеть) и подсеть 192.168.1.0 (дополнительный сегмент). Для 192.168.1.0 выделен отдельный порт со своим DHCP, в него подключено оборудование, которое получает настройки от DHCP 192.168.1.2-255, 255.255.255.0 192.168.1.1

Из-под 192.168.0.0 идут пинги на любое оборудование в подсети 1.0, а наоборот - нет.

no isolate-private активен. Пытался создавать различные маршруты и до устройств в сети 192.168.0.0, и до самой подсети, безрезультатно. Максимум, получал ответ от 192.168.1.1: Заданный узел недоступен.

Без каких-либо маршрутов получается превышен интервал ожидания для запроса.

 Tracert с компьютера в подсети 1.0 дальше 192.168.1.1 не идет

Что я делаю не так, подскажите пожалуйста!

14 answers to this question

Recommended Posts

  • 0
dexter Honored Flooder

dexter

Posted
Posted

Шлюз на хостах обоих подсетей прописан? Все должно работать без доп маршрутов.

no isolate-private - оставляйте в конфигурации пока не заработает.

  • 0
masterfiles Newbie

masterfiles

Posted
  • Author
Posted
8 минут назад, dexter сказал:

Шлюз на хостах обоих подсетей прописан? Все должно работать без доп маршрутов.

no isolate-private - оставляйте в конфигурации пока не заработает.

Да, в подсети 192.168.0.0 шлюз 192.168.0.1; в подсети 192.168.1.0 соответственно 1.1;

Из-под 0.0 видно 1.0, а наоборот - нет. 

  • 0
Mamay Honored Flooder

Mamay

Posted
Posted
1 час назад, masterfiles сказал:

Никто не знает что можно сделать?

Сходить по прямому назначению к официалам...

  • 0
dexter Honored Flooder

dexter

Posted
Posted

Маршрутизация работает. Иначе б из под 0.0 так же б не пинговалось, а у вас ответ приходит, а значит из 1.0 в 0.0 обратно пакеты доходят.

У вас никаких запрещающих правил нет на роутере? И на том оборудовании, из подсети 0.0, которое вы пытаетесь пинговать нет случаем фаервола? Похоже, что закрыты ICMP для входящих. 

  • 0
masterfiles Newbie

masterfiles

Posted
  • Author
Posted (edited)
6 минут назад, dexter сказал:

Маршрутизация работает. Иначе б из под 0.0 так же б не пинговалось, а у вас ответ приходит, а значит из 1.0 в 0.0 обратно пакеты доходят.

У вас никаких запрещающих правил нет на роутере? И на том оборудовании, из подсети 0.0, которое вы пытаетесь пинговать нет случаем фаервола? Похоже, что закрыты ICMP для входящих. 

В сети 1.0 висит 20 устройств, в том числе ПК, ip-регистратор и куча камер. Ни с одного из них пинг в сеть 0.0 не уходит.

В сети 0.0 тоже есть несколько камер, они отлично пингуются из-под 0.0 и с самого роутера.

Тот же самый ПК втыкаю в порт, на котором подсеть 0.0 - все пинги идут в обе подсети.

На роутере забанен только один порт 445 во все стороны. Если правило отключить - все равно не работает.

Могу даже с ПК из-под 0.0 подключиться по RDP к ПК в 1.0. Все работает прекрасно. Но в обратную сторону - нет!

Edited by masterfiles
  • 0
masterfiles Newbie

masterfiles

Posted
  • Author
Posted
3 минуты назад, dexter сказал:

А какой security-level у сети 1.0? 

address: 192.168.1.1

             mask: 255.255.255.0

           uptime: 500453

           global: no

   security-level: protected
address: 192.168.0.1
             mask: 255.255.255.0
           uptime: 500456
           global: no
   security-level: private

 

  • 0
masterfiles Newbie

masterfiles

Posted
  • Author
Posted
12 минуты назад, dexter сказал: 

 security-level: protected

Вот и ответ. Меняйте на  


security-level: private

Спасибо! Все заработало как надо!

Буду знать теперь.

  • 0
Andron_ Newbie

Andron_

Posted
Posted

Камрады, подскажите, пожалуйста.

Экспериментирую с GIGA. Один порт нужно отдать под выделенный сегмент. На нём будет висеть камера.

Никаким спобом мне не удалось добиться связи из домашнего в дополнительный сегмент. security-level, no-isolation не помогают. Видимо, есть какое-то ключевое условие, которое я не делаю, а оно нигде не описывается.

Подскажите, пжлст, как настроить доп. сегмент?

  • 0
vasek00 Honored Flooder

vasek00

Posted
Posted
40 минут назад, Andron_ сказал:

Никаким спобом мне не удалось добиться связи из домашнего в дополнительный сегмент. security-level, no-isolation не помогают. Видимо, есть какое-то ключевое условие, которое я не делаю, а оно нигде не описывается.

Подскажите, пжлст, как настроить доп. сегмент?

Осмыслите еще раз порядок действий. Начните с сохранения selftest файла, поиска в нем ваших интерфейсов (относящихся к сегментам). B еще раз прочитать/посмотреть https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса но начните с

Цитата

На интерфейсах интернет-центра предусмотрены настройки уровня доступа (security-level), которые определяют уровень безопасности (логику работы сетевого экрана):

— private (частный, локальный);
— public (внешний, публичный);
— protected (защищённый, локальный).

По умолчанию Keenetic принимает сетевые подключения только с интерфейсов private. Интерфейсам типа private разрешено устанавливать соединения в интерфейсы public, и на само устройство для управления и доступа к сервисам, работающим на интернет-центре. Для интерфейса гостевой сети закрыт доступ для управления интернет-центром и к его сервисам.

Между интерфейсами private и из private в protected устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Данная настройка зависит от установки параметра isolate-private. Если вам нужно разрешить соединения между интерфейсами типа private или между private и protected (т.е. не изолировать доступ), для этого выполните команду no isolate-private

Из интерфейсов типа public запрещено устанавливать соединения на любые интерфейсы, в том числе на другие интерфейсы типа public, а также на само устройство.

Интерфейсам типа protected разрешено устанавливать соединения только в интерфейсы public. По умолчанию доступ запрещён к устройствам интерфейсов private и других protected, а также к управлению устройством.

С помощью команды security-level public|private|protected можно управлять уровнями доступа на интерфейсах интернет-центра.

и картинка.

security-level, no-isolation не помогают. Видимо, есть какое-то ключевое условие, которое я не делаю, а оно нигде не описывается.

Cразу вопрос что в итоге имеете или обратитесь тогда в ТП с приложенном файлом selftest.

 

  • 0
Andron_ Newbie

Andron_

Posted
Posted

В-общем, я обратился в ТП (со второго раза попал в нужную :) ). Оказалось, что я настраивал адрес интерфейса на адрес подсети. Т.е. на нолик при 24й маске. Сдвинул адрес интерфейса на единичку и всё сразу поехало.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept