Jump to content

support@cyber.com.ru

Forum Members
  • Posts

    13
  • Joined

  • Last visited

Equipment

  • Keenetic
    Zyxel Keenetic

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

support@cyber.com.ru's Achievements

Member

Member (2/5)

5

Reputation

  1. Подскажите, как такое можно решить? Мы (провайдер) планируем бесплатно предоставлять абонентам маршрутизаторы. Но одновременно с этим хотим, чтобы эти маршрутизаторы можно было использовать только в нашей сети. Для этого у абонента не будет доступа к настройке устройства. Можно ли заблокировать или отключить функцию сброса на заводские настройки? А если нельзя, то можно ли заменить стандартный файл default-config на свой? Конечно у Zyxel есть программа брендирования, но там минимальная партия слишком большая.
  2. Теперь нужно навесить на маршрутизатор ACL. Из гостевой сети доступ разрешен только в интернет. Из локальной сети доступ разрешен в интернет, а доступ в приватную сеть (VLAN 300) должен быть разрешен только на узлы 10.102.0.40, 10.102.0.41, 10.102.200.0/24. 10.1.128.0/24 и 10.1.144.0/24 - это подсети, из которых должен быть разрешен telnet и http на маршрутизатор. Добавил такую конфигурацию: ! access-list ACL_LOCAL_IN deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit access-list ACL_LOCAL_OUT permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! access-list ACL_GUEST_IN deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit access-list ACL_GUEST_OUT permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! access-list ACL_REMOTE_IN permit icmp 10.102.200.0/24 10.102.0.0/16 permit icmp 10.102.0.0/24 10.102.0.0/16 permit tcp 10.102.0.0/24 10.102.0.0/16 permit udp 10.102.0.0/24 10.102.0.0/16 permit icmp 10.1.128.0/24 10.102.0.0/16 permit tcp 10.1.128.0/24 10.102.0.0/16 permit icmp 10.1.144.0/24 10.102.0.0/16 permit tcp 10.1.144.0/24 10.102.0.0/16 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit access-list ACL_REMOTE_OUT permit icmp 10.102.0.0/16 10.102.200.0/24 permit icmp 10.102.0.0/16 10.102.0.0/24 permit tcp 10.102.0.0/16 10.102.0.40/32 permit tcp 10.102.0.0/16 10.102.0.41/32 permit tcp 10.102.0.0/16 10.102.0.42/32 permit tcp 10.102.0.0/16 10.102.0.43/32 permit tcp 10.102.0.0/16 10.102.0.44/32 permit tcp 10.102.0.0/16 10.102.0.45/32 permit tcp 10.102.0.0/16 10.102.0.46/32 permit tcp 10.102.0.0/16 10.102.0.47/32 permit tcp 10.102.0.0/16 10.102.0.48/32 permit tcp 10.102.0.0/16 10.102.0.49/32 permit udp 10.102.0.0/16 10.102.0.40/32 permit udp 10.102.0.0/16 10.102.0.41/32 permit udp 10.102.0.0/16 10.102.0.42/32 permit udp 10.102.0.0/16 10.102.0.43/32 permit udp 10.102.0.0/16 10.102.0.44/32 permit udp 10.102.0.0/16 10.102.0.45/32 permit udp 10.102.0.0/16 10.102.0.46/32 permit udp 10.102.0.0/16 10.102.0.47/32 permit udp 10.102.0.0/16 10.102.0.48/32 permit udp 10.102.0.0/16 10.102.0.49/32 permit icmp 10.102.0.0/16 10.1.128.0/24 permit tcp 10.102.0.0/16 10.1.128.0/24 permit icmp 10.102.0.0/16 10.1.144.0/24 permit tcp 10.102.0.0/16 10.1.144.0/24 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! access-list ACL_INTERNET_IN permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit access-list ACL_INTERNET_OUT permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! interface FastEthernet0/Vlan300 ip access-group ACL_REMOTE_IN in ip access-group ACL_REMOTE_OUT out ! interface Bridge0 ip access-group ACL_LOCAL_IN in ip access-group ACL_LOCAL_OUT out ! interface Bridge1 ip access-group ACL_GUEST_IN in ip access-group ACL_GUEST_OUT out ! interface PPPoE0 ip access-group ACL_INTERNET_IN in ip access-group ACL_INTERNET_OUT out Все правильно? Нужно ли для исходящих tcp-соединений задавать "зеркальные" правила или установленные соединения файрволл не блокирует?
  3. access 300 и не нужен, у меня SVI. Причина была в том, что в строке switchport trunk vlan 300,390,400 Кинетик не принимал синтаксис списка и строку игнорировал, поэтому получался порт trunk без разрешенных VLAN. Добавил по одному, теперь все работает.
  4. Мда. Причина оказалась здесь: interface FastEthernet0/0 ... switchport trunk vlan 300,390,400 Не понимает он список. Нужно просто три раза строку указать с разными vlan.
  5. Веб-интерфейс я вообще использовать не хочу, с ним конфиг (названия интерфейсов) усложняется, сложнее понять, что к чему. У меня должна получится такая схема, как на прикрепленном рисунке. Я так понял, что у меня все правильно, нужно только вообще убрать бридж для VLAN 390? Но у меня почему-то даже с самого кинетика (Tools - Diagnostic) не пингуется 10.102.200.250. И на порту коммутатора доступа я вообще не вижу MAC-адресов Кинетика на порту.
  6. Сделал такой конфиг. Вроде бы все правильно, но нет доступа к закрытой сети и нет доступа к интернет. Не подскажите, что неправильно? config.txt
  7. Помогите настроить Кинетик под следующую задачу. Порт 0 Кинетика подключен в порт коммутатора провайдера. Порт коммутатора работает в режиме trunk, разрешены следующие VLAN: 300, 390, 400. VLAN 300 — отдельная закрытая подсеть с приватной адресацией (10.102.2xx/24). VLAN 390 — отдельный изолированный L2VPN, без IP-адресации, должен быть сбриджеван с портами 3 и 4. VLAN 400 — VLAN, в котором должно быть установлено PPPoE-подключение для доступа в интернет. То есть коротко: 0.400 - интернет PPPoE, 0.300 - закрытая подсеть, 0.390+3+4 - бридж, 1+2 - локальная сеть. Через веб-интерфейс я такое настроить не могу, он глючит и не дает выбрать нужные параметры. Составил такую текстовую конфигурацию (которую буду загружать вместо startup-config), просьба ее проверить и посоветовать изменения: Но такое не работает. Как правильно создать бридж?
  8. Для VPN-подключений маска всегда /32, пересечений с Home нет. Впрочем я пробовал в настройках VPN использовать пул из новой подсети, было так же.
  9. Что-то никак не удается добиться правильной работы VPN. Подскажите, что делаю не так? Есть офисная сеть 192.168.1.0/24. В этой сети есть сервер Windows 192.168.1.250, который заодно является сервером DHCP и DNS, от него по DHCP клиенты получают сетевые параметры: DNS 192.168.1.250 и шлюз 192.168.1.254. 192.168.1.254 - это Zyxel Keenetic. На Zyxel Keenetic в локальной сети задан IP-адрес 192.168.1.254/24, включен NAT, выключен DHCP. Также на Zyxel Keenetic созданы следующие внешние подключения: PPPoE-подключение к интернету (используемое по умолчанию) и два подключения по выделенной линии со статически заданными IP-адресами: 10.1.144.3/24 (служебная закрытая сеть) и xx.yy.124.80/25 (публичная сеть). Также на Zyxel Keenetic добавлены статические маршруты на 10.0.0.0/8 (через интерфейс с 10.1.144.3) и на xx.yy.124.0/22 (через интерфейс с xx.yy.124.80). Кроме того, для этих интерфейсов добавлены DNS-сервера (10.1.128.11 и xx.yy.124.1). Из офисной сети все работает отлично - выход в интернет через PPPoE, доступ к публичной сети xx.yy.124.0/22 натится через xx.yy.124.80, доступ к служебной сети 10.0.0.0/8 натится через 10.1.144.3. Теперь я хочу обеспечить возможность подключения к офисной сети и офисным ресурсам через VPN. Добавил компонент VPN-сервер, добавил пользователя с правом доступа VPN-сервер, в разделе "Приложения" включил VPN-сервер, настроил диапазон 192.168.1.100-109 (этот диапазон исключен из пула адресов DHCP-сервера), для VPN-подключений включил NAT. На удаленном ПК настраиваю VPN-подключение, успешно подключаюсь, получаю IP-адрес 192.168.1.100. Узлы из 192.168.1.0/24 успешно пингуются, в интернет через PPPoE выхожу. Но узлы в xx.yy.124.0/22 и 10.0.0.0/8 недоступны. Отчего так? Если для дополнительных интерфейсов (10.1.144.3 и xx.yy.124.80) указать security-level private, то эти интерфейсы появляются в настройках VPN-сервера (выпадающий список с выбором интерфейсов, к которым нужно давать доступ). При выборе этих интерфейсов после установки VPN-подключения к узлам в этих подсетях доступ появляется, но пропадает к остальным. Ну и офисная сеть перестает работать, так как для security-level private они более не натятся. У меня есть подозрение, что при включении NAT в настройках VPN-сервера трансляция осуществляется только на те интерфейсы, у которых в свойствах отмечено, что они используются для выхода в интернет.
  10. На официальном форуме ТП мне сообщила, что в следующем релизе планируется добавить нужные DHCP-опции. Будем ждать.
  11. Здравствуйте. У меня есть устройство Sagemcom DSI87-1, это IPTV-приставка НТВ+. Для правильной работы приставка должна получать по DHCP адрес IPTV-портала, который передается в DHCP-опции 72 (опция 72 "Серверы WWW"). Других способов настройки на данном устройстве не предусмотрено. Подскажите, можно ли это сделать каким-то образом на Кинетике (через веб-интерфейс, прямым редактированием конфигурационного файла, с помощью расширения Opkg)? Или единственный вариант это поставить через OPKG среду Debian?
  12. Спасибо, теперь вроде бы логика поведения становится понятной. С недавних пор вроде бы эта проблема действительно стала малозаметна.
  13. Уже несколько лет наблюдается такая проблема. Есть Zyxel Keenetic, раздает WiFi в режиме WPA2. К нему проводом подключены стационарный ПК и ТВ-приставка. По WiFi к нему подключена ТВ-приставка Dune HD Connect, а также несколько других устройств (ноутбук, смартфон). Dune HD Connect запитана от USB-порта телевизора. Странность-1 в следующем. Если я выключаю телевизор (т.е. отключаю Dune HD Connect по питанию), то на некоторое время перестает работать WiFi. Визуально сигнал есть, однако передача данных не идет. Если на беспроводном устройстве (ноутбуке, смартфоне) ничего не трогать, то примерно через минуту прохождение трафика возобновляется и все работает. Если попытаться переподключиться (то есть на беспроводном устройстве выключить и включить беспроводную сеть), то минуты три устройство подключиться не сможет, затем подключение происходит успешно. В логах Zyxel в этот момент какие-то ошибки о просроченных ключах WPA (дословно не помню, если это важно, могу повторить и выложить фрагмент из логов). Если Dune Connect не трогать (то есть не включать или не выключать), то WiFi без каких-либо проблем работает с утра до вечера. Если Dune Connect подключить проводом, то при ее отключении таких проблем нет. Если Dune Connect выключить ее собственным пультом, не выключая телевизор (т.е. питание по USB приставка продолжает получать), то WiFi работает нормально. Если выключить телевизор на уже выключенной с пульта приставки, то WiFi на некоторое время перестает работать, т.е. странность повторяется. Странность-2: я несколько раз менял маршрутизаторы, самые различные модели (обычные кинетики 1, 2 и 3, гига 2 и 3), всего пробовал 5 или 6 разных устройств с разными прошивками. Первое время (от одного до нескольких месяцев) все работает нормально, при выключении ТВ-приставки Dune HD Connect ничего не зависает. Затем через некоторое время странность-1 возобновляется.
×
×
  • Create New...