Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Маршрутизация между сегментами

masterfiles

Ответ от masterfiles,

 Поделиться

Вопрос

masterfiles Новичок

masterfiles

Опубликовано
Опубликовано

Здравствуйте!

Не получается настроить маршрутизацию внутри роутера KN-1010.

Имеется подсеть 192.168.0.0 (домашняя сеть) и подсеть 192.168.1.0 (дополнительный сегмент). Для 192.168.1.0 выделен отдельный порт со своим DHCP, в него подключено оборудование, которое получает настройки от DHCP 192.168.1.2-255, 255.255.255.0 192.168.1.1

Из-под 192.168.0.0 идут пинги на любое оборудование в подсети 1.0, а наоборот - нет.

no isolate-private активен. Пытался создавать различные маршруты и до устройств в сети 192.168.0.0, и до самой подсети, безрезультатно. Максимум, получал ответ от 192.168.1.1: Заданный узел недоступен.

Без каких-либо маршрутов получается превышен интервал ожидания для запроса.

 Tracert с компьютера в подсети 1.0 дальше 192.168.1.1 не идет

Что я делаю не так, подскажите пожалуйста!

13 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
dexter Старожил

dexter

Опубликовано
Опубликовано

Шлюз на хостах обоих подсетей прописан? Все должно работать без доп маршрутов.

no isolate-private - оставляйте в конфигурации пока не заработает.

  • 0
masterfiles Новичок

masterfiles

Опубликовано
  • Автор
Опубликовано
8 минут назад, dexter сказал:

Шлюз на хостах обоих подсетей прописан? Все должно работать без доп маршрутов.

no isolate-private - оставляйте в конфигурации пока не заработает.

Да, в подсети 192.168.0.0 шлюз 192.168.0.1; в подсети 192.168.1.0 соответственно 1.1;

Из-под 0.0 видно 1.0, а наоборот - нет. 

  • 0
dexter Старожил

dexter

Опубликовано
Опубликовано

Маршрутизация работает. Иначе б из под 0.0 так же б не пинговалось, а у вас ответ приходит, а значит из 1.0 в 0.0 обратно пакеты доходят.

У вас никаких запрещающих правил нет на роутере? И на том оборудовании, из подсети 0.0, которое вы пытаетесь пинговать нет случаем фаервола? Похоже, что закрыты ICMP для входящих. 

  • 0
masterfiles Новичок

masterfiles

Опубликовано
  • Автор
Опубликовано (изменено)
6 минут назад, dexter сказал:

Маршрутизация работает. Иначе б из под 0.0 так же б не пинговалось, а у вас ответ приходит, а значит из 1.0 в 0.0 обратно пакеты доходят.

У вас никаких запрещающих правил нет на роутере? И на том оборудовании, из подсети 0.0, которое вы пытаетесь пинговать нет случаем фаервола? Похоже, что закрыты ICMP для входящих. 

В сети 1.0 висит 20 устройств, в том числе ПК, ip-регистратор и куча камер. Ни с одного из них пинг в сеть 0.0 не уходит.

В сети 0.0 тоже есть несколько камер, они отлично пингуются из-под 0.0 и с самого роутера.

Тот же самый ПК втыкаю в порт, на котором подсеть 0.0 - все пинги идут в обе подсети.

На роутере забанен только один порт 445 во все стороны. Если правило отключить - все равно не работает.

Могу даже с ПК из-под 0.0 подключиться по RDP к ПК в 1.0. Все работает прекрасно. Но в обратную сторону - нет!

Изменено пользователем masterfiles
  • 0
masterfiles Новичок

masterfiles

Опубликовано
  • Автор
Опубликовано
3 минуты назад, dexter сказал:

А какой security-level у сети 1.0? 

address: 192.168.1.1

             mask: 255.255.255.0

           uptime: 500453

           global: no

   security-level: protected
address: 192.168.0.1
             mask: 255.255.255.0
           uptime: 500456
           global: no
   security-level: private

 

  • 0
masterfiles Новичок

masterfiles

Опубликовано
  • Автор
Опубликовано
12 минуты назад, dexter сказал: 

 security-level: protected

Вот и ответ. Меняйте на  


security-level: private

Спасибо! Все заработало как надо!

Буду знать теперь.

  • 0
Andron_ Новичок

Andron_

Опубликовано
Опубликовано

Камрады, подскажите, пожалуйста.

Экспериментирую с GIGA. Один порт нужно отдать под выделенный сегмент. На нём будет висеть камера.

Никаким спобом мне не удалось добиться связи из домашнего в дополнительный сегмент. security-level, no-isolation не помогают. Видимо, есть какое-то ключевое условие, которое я не делаю, а оно нигде не описывается.

Подскажите, пжлст, как настроить доп. сегмент?

  • 0
vasek00 Старожил

vasek00

Опубликовано
Опубликовано
40 минут назад, Andron_ сказал:

Никаким спобом мне не удалось добиться связи из домашнего в дополнительный сегмент. security-level, no-isolation не помогают. Видимо, есть какое-то ключевое условие, которое я не делаю, а оно нигде не описывается.

Подскажите, пжлст, как настроить доп. сегмент?

Осмыслите еще раз порядок действий. Начните с сохранения selftest файла, поиска в нем ваших интерфейсов (относящихся к сегментам). B еще раз прочитать/посмотреть https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса но начните с

Цитата

На интерфейсах интернет-центра предусмотрены настройки уровня доступа (security-level), которые определяют уровень безопасности (логику работы сетевого экрана):

— private (частный, локальный);
— public (внешний, публичный);
— protected (защищённый, локальный).

По умолчанию Keenetic принимает сетевые подключения только с интерфейсов private. Интерфейсам типа private разрешено устанавливать соединения в интерфейсы public, и на само устройство для управления и доступа к сервисам, работающим на интернет-центре. Для интерфейса гостевой сети закрыт доступ для управления интернет-центром и к его сервисам.

Между интерфейсами private и из private в protected устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Данная настройка зависит от установки параметра isolate-private. Если вам нужно разрешить соединения между интерфейсами типа private или между private и protected (т.е. не изолировать доступ), для этого выполните команду no isolate-private

Из интерфейсов типа public запрещено устанавливать соединения на любые интерфейсы, в том числе на другие интерфейсы типа public, а также на само устройство.

Интерфейсам типа protected разрешено устанавливать соединения только в интерфейсы public. По умолчанию доступ запрещён к устройствам интерфейсов private и других protected, а также к управлению устройством.

С помощью команды security-level public|private|protected можно управлять уровнями доступа на интерфейсах интернет-центра.

и картинка.

security-level, no-isolation не помогают. Видимо, есть какое-то ключевое условие, которое я не делаю, а оно нигде не описывается.

Cразу вопрос что в итоге имеете или обратитесь тогда в ТП с приложенном файлом selftest.

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю