support@cyber.com.ru
-
Posts
13 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by support@cyber.com.ru
-
-
Теперь нужно навесить на маршрутизатор ACL.
Из гостевой сети доступ разрешен только в интернет.
Из локальной сети доступ разрешен в интернет, а доступ в приватную сеть (VLAN 300) должен быть разрешен только на узлы 10.102.0.40, 10.102.0.41, 10.102.200.0/24.
10.1.128.0/24 и 10.1.144.0/24 - это подсети, из которых должен быть разрешен telnet и http на маршрутизатор.
Добавил такую конфигурацию:
! access-list ACL_LOCAL_IN deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit access-list ACL_LOCAL_OUT permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! access-list ACL_GUEST_IN deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit access-list ACL_GUEST_OUT permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! access-list ACL_REMOTE_IN permit icmp 10.102.200.0/24 10.102.0.0/16 permit icmp 10.102.0.0/24 10.102.0.0/16 permit tcp 10.102.0.0/24 10.102.0.0/16 permit udp 10.102.0.0/24 10.102.0.0/16 permit icmp 10.1.128.0/24 10.102.0.0/16 permit tcp 10.1.128.0/24 10.102.0.0/16 permit icmp 10.1.144.0/24 10.102.0.0/16 permit tcp 10.1.144.0/24 10.102.0.0/16 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit access-list ACL_REMOTE_OUT permit icmp 10.102.0.0/16 10.102.200.0/24 permit icmp 10.102.0.0/16 10.102.0.0/24 permit tcp 10.102.0.0/16 10.102.0.40/32 permit tcp 10.102.0.0/16 10.102.0.41/32 permit tcp 10.102.0.0/16 10.102.0.42/32 permit tcp 10.102.0.0/16 10.102.0.43/32 permit tcp 10.102.0.0/16 10.102.0.44/32 permit tcp 10.102.0.0/16 10.102.0.45/32 permit tcp 10.102.0.0/16 10.102.0.46/32 permit tcp 10.102.0.0/16 10.102.0.47/32 permit tcp 10.102.0.0/16 10.102.0.48/32 permit tcp 10.102.0.0/16 10.102.0.49/32 permit udp 10.102.0.0/16 10.102.0.40/32 permit udp 10.102.0.0/16 10.102.0.41/32 permit udp 10.102.0.0/16 10.102.0.42/32 permit udp 10.102.0.0/16 10.102.0.43/32 permit udp 10.102.0.0/16 10.102.0.44/32 permit udp 10.102.0.0/16 10.102.0.45/32 permit udp 10.102.0.0/16 10.102.0.46/32 permit udp 10.102.0.0/16 10.102.0.47/32 permit udp 10.102.0.0/16 10.102.0.48/32 permit udp 10.102.0.0/16 10.102.0.49/32 permit icmp 10.102.0.0/16 10.1.128.0/24 permit tcp 10.102.0.0/16 10.1.128.0/24 permit icmp 10.102.0.0/16 10.1.144.0/24 permit tcp 10.102.0.0/16 10.1.144.0/24 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! access-list ACL_INTERNET_IN permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit access-list ACL_INTERNET_OUT permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! interface FastEthernet0/Vlan300 ip access-group ACL_REMOTE_IN in ip access-group ACL_REMOTE_OUT out ! interface Bridge0 ip access-group ACL_LOCAL_IN in ip access-group ACL_LOCAL_OUT out ! interface Bridge1 ip access-group ACL_GUEST_IN in ip access-group ACL_GUEST_OUT out ! interface PPPoE0 ip access-group ACL_INTERNET_IN in ip access-group ACL_INTERNET_OUT out
Все правильно? Нужно ли для исходящих tcp-соединений задавать "зеркальные" правила или установленные соединения файрволл не блокирует?
-
access 300 и не нужен, у меня SVI.
Причина была в том, что в строке switchport trunk vlan 300,390,400 Кинетик не принимал синтаксис списка и строку игнорировал, поэтому получался порт trunk без разрешенных VLAN. Добавил по одному, теперь все работает.
- 1
-
Мда.
Причина оказалась здесь:
interface FastEthernet0/0 ... switchport trunk vlan 300,390,400
Не понимает он список. Нужно просто три раза строку указать с разными vlan.
-
Веб-интерфейс я вообще использовать не хочу, с ним конфиг (названия интерфейсов) усложняется, сложнее понять, что к чему.
У меня должна получится такая схема, как на прикрепленном рисунке.
Я так понял, что у меня все правильно, нужно только вообще убрать бридж для VLAN 390? Но у меня почему-то даже с самого кинетика (Tools - Diagnostic) не пингуется 10.102.200.250. И на порту коммутатора доступа я вообще не вижу MAC-адресов Кинетика на порту.
- 1
-
Сделал такой конфиг. Вроде бы все правильно, но нет доступа к закрытой сети и нет доступа к интернет. Не подскажите, что неправильно?
-
Помогите настроить Кинетик под следующую задачу.
Порт 0 Кинетика подключен в порт коммутатора провайдера. Порт коммутатора работает в режиме trunk, разрешены следующие VLAN: 300, 390, 400. VLAN 300 — отдельная закрытая подсеть с приватной адресацией (10.102.2xx/24). VLAN 390 — отдельный изолированный L2VPN, без IP-адресации, должен быть сбриджеван с портами 3 и 4. VLAN 400 — VLAN, в котором должно быть установлено PPPoE-подключение для доступа в интернет. То есть коротко: 0.400 - интернет PPPoE, 0.300 - закрытая подсеть, 0.390+3+4 - бридж, 1+2 - локальная сеть.
Через веб-интерфейс я такое настроить не могу, он глючит и не дает выбрать нужные параметры.
Составил такую текстовую конфигурацию (которую буду загружать вместо startup-config), просьба ее проверить и посоветовать изменения:
Скрытый текст! $$$ Model: ZyXEL Keenetic II ! $$$ Version: 2.06.1 ! $$$ Agent: http/ci ! $$$ Last change: Fri, 7 Apr 2017 09:32:51 GMT ! $$$ Md5 checksum: 00e991046865532fb544976593d90416 system set net.ipv4.ip_forward 1 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200 set net.ipv4.netfilter.ip_conntrack_max 10240 set vm.swappiness 100 no button WLAN on click no button WLAN on hold no button FN on click clock timezone Europe/Moscow clock date 7 Apr 2017 12:33:52 domainname LIVE hostname GATEWAY ! ntp server ntp.live.local ntp server ntp.domain.ru ntp server ru.pool.ntp.org isolate-private dyndns profile _WEBADMIN ! interface FastEthernet0 up ! interface FastEthernet0/0 name 0 switchport mode trunk switchport trunk vlan 300,400,390 up ! interface FastEthernet0/1 name 1 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/2 name 2 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/3 name 3 switchport mode access up ! interface FastEthernet0/4 name 4 switchport mode access up ! interface FastEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! interface FastEthernet0/Vlan300 description IPCAMS security-level public ip address 10.102.200.254 255.255.255.0 ip dhcp client hostname GATEWAY ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 up ! interface FastEthernet0/Vlan400 description PPPOE security-level public ip mtu 1500 up ! interface FastEthernet0/Vlan390 description VPN security-level public ip mtu 1500 up ! interface PPPoE0 description INET no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity test authentication password ns3 pwd ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1492 ip global 1000 ip tcp adjust-mss pmtu up ! interface WifiMaster0 country-code RU compatibility BGN channel width 40-below power 100 up ! interface WifiMaster0/AccessPoint0 name AccessPoint description "Wi-Fi access point" mac access-list type none security-level private encryption disable ip dhcp client dns-routes ip dhcp client name-servers ssid PRIVATE wmm down ! interface WifiMaster0/AccessPoint1 name GuestWiFi description GUEST mac access-list type none security-level protected encryption disable ip address 192.168.255.250 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers ssid PUBLIC wmm down ! interface WifiMaster0/AccessPoint2 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/AccessPoint3 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/WifiStation0 security-level public encryption disable ip address dhcp ip dhcp client dns-routes ip dhcp client name-servers down ! interface Bridge0 name Local description LAN inherit FastEthernet0/Vlan1 include AccessPoint security-level private ip address 10.102.254.250 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers up ! interface Bridge1 name VPN description LAN inherit FastEthernet0/Vlan390 include 3 include 4 security-level private up ! ip route 10.102.0.0 255.255.0.0 10.102.200.250 FastEthernet0/Vlan300 auto ip dhcp pool _WEBADMIN range 10.102.254.1 10.102.254.99 lease 25200 bind Home enable ! ip dhcp pool _WEBADMIN_GUEST_AP range 192.168.255.1 192.168.255.99 lease 7200 bind GuestWiFi enable ! ip name-server 10.102.0.40 "" on FastEthernet0/Vlan300 ip nat GuestWiFi ppe software ppe hardware ! user admin password md5 pwd password nt pwd tag cli tag http tag ftp tag cifs tag printers tag torrent ! user user password md5 pwd password nt pwd tag readonly ! service dhcp service dns-proxy service cifs service http service telnet service ntp-client service upnp cifs automount permissive !
Но такое не работает. Как правильно создать бридж?
-
Для VPN-подключений маска всегда /32, пересечений с Home нет. Впрочем я пробовал в настройках VPN использовать пул из новой подсети, было так же.
-
Что-то никак не удается добиться правильной работы VPN. Подскажите, что делаю не так?
Есть офисная сеть 192.168.1.0/24. В этой сети есть сервер Windows 192.168.1.250, который заодно является сервером DHCP и DNS, от него по DHCP клиенты получают сетевые параметры: DNS 192.168.1.250 и шлюз 192.168.1.254. 192.168.1.254 - это Zyxel Keenetic.
На Zyxel Keenetic в локальной сети задан IP-адрес 192.168.1.254/24, включен NAT, выключен DHCP. Также на Zyxel Keenetic созданы следующие внешние подключения: PPPoE-подключение к интернету (используемое по умолчанию) и два подключения по выделенной линии со статически заданными IP-адресами: 10.1.144.3/24 (служебная закрытая сеть) и xx.yy.124.80/25 (публичная сеть). Также на Zyxel Keenetic добавлены статические маршруты на 10.0.0.0/8 (через интерфейс с 10.1.144.3) и на xx.yy.124.0/22 (через интерфейс с xx.yy.124.80). Кроме того, для этих интерфейсов добавлены DNS-сервера (10.1.128.11 и xx.yy.124.1).
Из офисной сети все работает отлично - выход в интернет через PPPoE, доступ к публичной сети xx.yy.124.0/22 натится через xx.yy.124.80, доступ к служебной сети 10.0.0.0/8 натится через 10.1.144.3.
Теперь я хочу обеспечить возможность подключения к офисной сети и офисным ресурсам через VPN. Добавил компонент VPN-сервер, добавил пользователя с правом доступа VPN-сервер, в разделе "Приложения" включил VPN-сервер, настроил диапазон 192.168.1.100-109 (этот диапазон исключен из пула адресов DHCP-сервера), для VPN-подключений включил NAT.
На удаленном ПК настраиваю VPN-подключение, успешно подключаюсь, получаю IP-адрес 192.168.1.100. Узлы из 192.168.1.0/24 успешно пингуются, в интернет через PPPoE выхожу. Но узлы в xx.yy.124.0/22 и 10.0.0.0/8 недоступны. Отчего так?
Если для дополнительных интерфейсов (10.1.144.3 и xx.yy.124.80) указать security-level private, то эти интерфейсы появляются в настройках VPN-сервера (выпадающий список с выбором интерфейсов, к которым нужно давать доступ). При выборе этих интерфейсов после установки VPN-подключения к узлам в этих подсетях доступ появляется, но пропадает к остальным. Ну и офисная сеть перестает работать, так как для security-level private они более не натятся.
У меня есть подозрение, что при включении NAT в настройках VPN-сервера трансляция осуществляется только на те интерфейсы, у которых в свойствах отмечено, что они используются для выхода в интернет.
-
На официальном форуме ТП мне сообщила, что в следующем релизе планируется добавить нужные DHCP-опции.
Будем ждать.
- 1
-
Здравствуйте.
У меня есть устройство Sagemcom DSI87-1, это IPTV-приставка НТВ+.
Для правильной работы приставка должна получать по DHCP адрес IPTV-портала, который передается в DHCP-опции 72 (опция 72 "Серверы WWW"). Других способов настройки на данном устройстве не предусмотрено.
Подскажите, можно ли это сделать каким-то образом на Кинетике (через веб-интерфейс, прямым редактированием конфигурационного файла, с помощью расширения Opkg)?
Или единственный вариант это поставить через OPKG среду Debian?- 1
-
Спасибо, теперь вроде бы логика поведения становится понятной.
С недавних пор вроде бы эта проблема действительно стала малозаметна.
- 1
-
Уже несколько лет наблюдается такая проблема.
Есть Zyxel Keenetic, раздает WiFi в режиме WPA2. К нему проводом подключены стационарный ПК и ТВ-приставка. По WiFi к нему подключена ТВ-приставка Dune HD Connect, а также несколько других устройств (ноутбук, смартфон). Dune HD Connect запитана от USB-порта телевизора.Странность-1 в следующем. Если я выключаю телевизор (т.е. отключаю Dune HD Connect по питанию), то на некоторое время перестает работать WiFi. Визуально сигнал есть, однако передача данных не идет. Если на беспроводном устройстве (ноутбуке, смартфоне) ничего не трогать, то примерно через минуту прохождение трафика возобновляется и все работает. Если попытаться переподключиться (то есть на беспроводном устройстве выключить и включить беспроводную сеть), то минуты три устройство подключиться не сможет, затем подключение происходит успешно. В логах Zyxel в этот момент какие-то ошибки о просроченных ключах WPA (дословно не помню, если это важно, могу повторить и выложить фрагмент из логов).
Если Dune Connect не трогать (то есть не включать или не выключать), то WiFi без каких-либо проблем работает с утра до вечера.
Если Dune Connect подключить проводом, то при ее отключении таких проблем нет.
Если Dune Connect выключить ее собственным пультом, не выключая телевизор (т.е. питание по USB приставка продолжает получать), то WiFi работает нормально. Если выключить телевизор на уже выключенной с пульта приставки, то WiFi на некоторое время перестает работать, т.е. странность повторяется.Странность-2: я несколько раз менял маршрутизаторы, самые различные модели (обычные кинетики 1, 2 и 3, гига 2 и 3), всего пробовал 5 или 6 разных устройств с разными прошивками.
Первое время (от одного до нескольких месяцев) все работает нормально, при выключении ТВ-приставки Dune HD Connect ничего не зависает. Затем через некоторое время странность-1 возобновляется.
Отключение сброса или дефолтная настройка
in Обмен опытом
Posted
Подскажите, как такое можно решить?
Мы (провайдер) планируем бесплатно предоставлять абонентам маршрутизаторы. Но одновременно с этим хотим, чтобы эти маршрутизаторы можно было использовать только в нашей сети. Для этого у абонента не будет доступа к настройке устройства.
Можно ли заблокировать или отключить функцию сброса на заводские настройки? А если нельзя, то можно ли заменить стандартный файл default-config на свой?
Конечно у Zyxel есть программа брендирования, но там минимальная партия слишком большая.