Jump to content

dexter

Forum Members
  • Posts

    930
  • Joined

  • Last visited

  • Days Won

    3

Everything posted by dexter

  1. Блин, точно. Вспомнил, что в другом месте у меня четко прописано "ip static Home ISP", а где настраивал осталось по дефолту "ip nat Home".
  2. Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/ Хорошо, ход ваших мыслей понятен. Спасибо. Сегодня попробую. А если туннельному интерфейсу оставить security level private? От разработчиков может кто комментарий оставит или от пользователей.
  3. Всем привет. Помогите разобраться с ACL. Есть 2 сети 192.168.2.0/24 и удаленная 192.168.3.0/24. Между кинетиками проброшен IPIP/IPSec туннель 192.168.254.254/30 c security level private. Туннель поднялся и работает(проверял через "no isolate-private"). Подскажите как мне прописать ACL. Мне нужно прописать на каждом из кинетиков 2 ACL на интерфейс "Home" вида: Там где подсеть 192.168.2.0/24: Первый ACL (config)> access-list local-out (config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24 (config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24 Второй ACL: (config)> access-list remote-in (config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24 (config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24 И привязать его к Home интерфейсу: (config)> interface Home (config-if)> ip access-group local-out out (config-if)> ip access-group remote-in in Там где подсеть 192.168.3.0/24 зеркально: Первый ACL (config)> access-list local-out (config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24 (config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24 Второй ACL: (config)> access-list remote-in (config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24 (config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24 И привязать его к Home интерфейсу: (config)> interface Home (config-if)> ip access-group local-out out (config-if)> ip access-group remote-in in Вчера я в веб интерфейсе правилами фаервола добился, что бы пинговалось, но сетевая шара не открылась. При "no isolate-private" открывается.
  4. А ТВ приставку к какому классу отнести можно? К первому?
  5. Столкнулся с проблемой. Есть 2 удаленных кинетика. К каждому проброшен IPIP туннель. Иногда нужно выходить в инет через удаленный роутер. Так вот через один выход работает, а через второй сегодня не заработало. Перетаскиваю свой комп в нужный профиль, а вместо нормальной трассировки "звезды" в консоли. Сам туннель работает, т.к. к удаленному кинетику я доступ имею. Ниже будет селф-тест для понимания картины. Если нужно скину рисунок и другую отладочную информацию.
  6. ~ # cat /tmp/run/tsmb/users_db.txt cat: can't open '/tmp/run/tsmb/users_db.txt': No such file or directory ~ # cat /tmp/run/ cifs/ dropbear/ monitor/ ndhcpc-eth2.2 ndm.core.socket ndm.http2.socket ndmComponents.js nqnd.pid cleanupneigh.fb igmp-join ndhcpc-apcli0 ndhcpc-eth2.2.pid ndm.event.socket ndm.https.socket nlldo.fb printers/ dhcp-lease igmp-leave ndhcpc-apclii0 ndm.auth.socket ndm.feedback.socket ndm.scgi.socket nqcs.pid wmond.map ~ # cat /tmp/run/ Это на проблемном. А там где работает Ultra 2: ~ # cat /tmp/run/tsmb/users_db.txt guest:31d6cfe0d16ae931b73c59d7e0c089c0::501:root ~ #
  7. Zyxel Keenetic Ultra на прошивке 2.16.D.6.0-1 Cifs спрашивает пароль при входе. В настройках стоит доступ без пароля. Если ввести логин и пароль админа - пускает на шару. В роутер воткнута одна флешка. Селф-тест постом ниже.
  8. "access vlan" может быть только один на порт. В один порт "switchport access vlan 1690" в другой порт "switchport access vlan 1694". По идее должно заработать и без "'interface FastEthernet0/Vlan1690" и "interface FastEthernet0/Vlan1694", т.к. происходит в рамках одного физического свитча.
  9. Вы пригнали вланы interface FastEthernet0/0 rename 0 role inet for ISP switchport mode access switchport mode trunk switchport access vlan 2 switchport trunk vlan 1690 switchport trunk vlan 1694 up ! и дальше их пустили в interface FastEthernet0/1 rename 1 switchport mode access switchport mode trunk switchport access vlan 1 switchport trunk vlan 1690 switchport trunk vlan 1694 up ! За этим портом управляемый свитч, который эти вланы дальше по "access" портам раскрывает? Приставка ТВ в какой порт воткнута? Она должна тэгированный трафик принимать?
  10. Через cli: interface GigabitEthernetX/X switchport mode trunk switchport trunk vlan X switchport trunk vlan Y где "Х" название и номер нужного интерфейса/порта. vlan "X", vlan "Y" номер вашего влана. Нужно прописать на входящем и исходящем порту. Роутер у Вас Lite III?
  11. KN-1910 на 3.5 Alpha 6 отваливается инет на iphone 7. Выглядит это так, все перестает открываться c iphone и сам он не пингуется. Потом пинги начинают идти и опять потери. В логах кинетика при этом тишина. Какая ещё нужна отладочная информация? На виве включен роуминг и бэндстиринг. И сам пинг когда он пингуется не менее 50-60мс. В 3 метрах от роутера.
  12. Нет, вордпресс ТС не поставит в прошивку сбрасывать нет смысла. Если вы хотите зайти в ентваре то нужно попробовать постучаться на порт 222 если вы ничего не меняли после установки ентваре.
  13. Если вы пытаетесь зайти в Cli кинетика, то там логин "admin".
  14. А, кажись, нашел........ Маршрут не удалил. Тему в топку.
  15. Всем привет. Не могу решить проблему с OpenVPN и iptables. Имеется OpenVPN сервер на Debian 10 и 2 клиента (KN1910 и ZK Ultra1). Проблема заключается в том, что я не могу пропинговать IP OVPN клиента ZK Ultra1. Для ZK Ultra1 конфигурация взята под копирку от KN1910, изменены только IP и ключи. В остальном все идентично. С самого клиента сервер нормально пингуется. На обоих клиентах в каталогах "/opt/etc/ndm/netfilter.d" создан скрипт "filter.sh" #!/bin/sh PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin [ "$table" != "filter" ] && exit 0 # OpenVPN Tun iptables -A INPUT -i tun0 -j ACCEPT iptables -I FORWARD -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT ~ # Что заметил, если отправить ZK Ultra1, то в момент её загрузки успевает пройти несколько пакетов, но затем все прекращается. ~ # ping 192.168.5.252 PING 192.168.5.252 (192.168.5.252): 56 data bytes 64 bytes from 192.168.5.252: seq=636 ttl=64 time=7.960 ms 64 bytes from 192.168.5.252: seq=637 ttl=64 time=5.706 ms 64 bytes from 192.168.5.252: seq=638 ttl=64 time=7.400 ms 64 bytes from 192.168.5.252: seq=639 ttl=64 time=8.075 ms 64 bytes from 192.168.5.252: seq=640 ttl=64 time=9.381 ms 64 bytes from 192.168.5.252: seq=641 ttl=64 time=6.326 ms 64 bytes from 192.168.5.252: seq=642 ttl=64 time=7.234 ms 64 bytes from 192.168.5.252: seq=643 ttl=64 time=8.452 ms 64 bytes from 192.168.5.252: seq=644 ttl=64 time=6.350 ms 64 bytes from 192.168.5.252: seq=645 ttl=64 time=8.631 ms 64 bytes from 192.168.5.252: seq=646 ttl=64 time=5.479 ms ^C --- 192.168.5.252 ping statistics --- 665 packets transmitted, 11 packets received, 98% packet loss round-trip min/avg/max = 5.479/7.363/9.381 ms Ощущение, что режет фаервол на ZK Ultra1. Если правила вбить в консоле руками, то ничего не происходит. По tcpdump вижу входящие запросы но нет ответов, но сервер пингуется: ~ # tcpdump -i tun0 icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes 14:03:48.830292 IP 192.168.5.254 > 192.168.5.252: ICMP echo request, id 29049, seq 151, length 64 14:03:49.854493 IP 192.168.5.254 > 192.168.5.252: ICMP echo request, id 29049, seq 152, length 64 14:03:50.878867 IP 192.168.5.254 > 192.168.5.252: ICMP echo request, id 29049, seq 153, length 64 14:03:51.902835 IP 192.168.5.254 > 192.168.5.252: ICMP echo request, id 29049, seq 154, length 64 ^C 4 packets captured 4 packets received by filter 0 packets dropped by kernel ~ # ping 192.168.5.254 PING 192.168.5.254 (192.168.5.254): 56 data bytes 64 bytes from 192.168.5.254: seq=0 ttl=63 time=2.261 ms 64 bytes from 192.168.5.254: seq=1 ttl=63 time=2.168 ms 64 bytes from 192.168.5.254: seq=2 ttl=63 time=2.012 ms ^C --- 192.168.5.254 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 2.012/2.147/2.261 ms ~ # @Le ecureuil, может это быть баг 2.16.D.2.0-0?
  16. security-level: protected Вот и ответ. Меняйте на security-level: private
  17. Маршрутизация работает. Иначе б из под 0.0 так же б не пинговалось, а у вас ответ приходит, а значит из 1.0 в 0.0 обратно пакеты доходят. У вас никаких запрещающих правил нет на роутере? И на том оборудовании, из подсети 0.0, которое вы пытаетесь пинговать нет случаем фаервола? Похоже, что закрыты ICMP для входящих.
  18. Шлюз на хостах обоих подсетей прописан? Все должно работать без доп маршрутов. no isolate-private - оставляйте в конфигурации пока не заработает.
  19. Могла, но в ящике только у этого свитча выбило 8 портов. Остальные продолжали работать нормально. В грозу не угадаешь откуда прилетит.
  20. Это смотря как и где свернет. Бывал случай когда сгорела плата на 2х метровом патчкорде внутри бокса. Самое надежное это в грозу все выключать и отключать. Тогда ничего не сгорит.
  21. Успокойтесь вы уже с этой защитой. Для её нормальной работы нужно, что бы была пара и стояла она на обоих концах линии, а так же была ЗАЗЕМЛЕНА. Без заземления она не работает. В своей практике столкнулись с подобной проблемой. Ставили на линию пару гигабитных грозозащит. Так вот скорость на линии не превышала 30мбит/с. Пришлось использовать линию без защиты, а потом заменить на оптику. Бывают случаи, когда и через грозозащиту пробивает. Был случай когда грозозащита во время грозы реально СГОРЕЛА, весь телекоммуникационный бокс закоптился. Верно вам сказали купите дешевый тупой свитч и поставьте в разрыв, если так боитесь за порт роутера.
  22. Нужно у знавать у разработчиков, что передает кнопка при нажатии.
×
×
  • Create New...