Jump to content

support@cyber.com.ru

Forum Members
 View Profile  See their activity

  • Posts

    13

  • Joined

  • Last visited

 Content Type 

Posts posted by support@cyber.com.ru

    Отключение сброса или дефолтная настройка

    in Обмен опытом

    Posted

    Подскажите, как такое можно решить?

    Мы (провайдер) планируем бесплатно предоставлять абонентам маршрутизаторы. Но одновременно с этим хотим, чтобы эти маршрутизаторы можно было использовать только в нашей сети. Для этого у абонента не будет доступа к настройке устройства.

    Можно ли заблокировать или отключить функцию сброса на заводские настройки? А если нельзя, то можно ли заменить стандартный файл default-config на свой?

    Конечно у Zyxel есть программа брендирования, но там минимальная партия слишком большая.

    Помогите с настройкой Кинетика

    in Обмен опытом

    Posted

    Теперь нужно навесить на маршрутизатор ACL.

    Из гостевой сети доступ разрешен только в интернет.

    Из локальной сети доступ разрешен в интернет, а доступ в приватную сеть (VLAN 300) должен быть разрешен только на узлы 10.102.0.40, 10.102.0.41, 10.102.200.0/24.

    10.1.128.0/24 и 10.1.144.0/24 - это подсети, из которых должен быть разрешен telnet и http на маршрутизатор.

    Добавил такую конфигурацию: 

    !
access-list ACL_LOCAL_IN
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_LOCAL_OUT
  permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
access-list ACL_GUEST_IN
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_GUEST_OUT
  permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
access-list ACL_REMOTE_IN
  permit icmp 10.102.200.0/24 10.102.0.0/16
  permit icmp 10.102.0.0/24 10.102.0.0/16
  permit tcp 10.102.0.0/24 10.102.0.0/16
  permit udp 10.102.0.0/24 10.102.0.0/16
  permit icmp 10.1.128.0/24 10.102.0.0/16
  permit tcp 10.1.128.0/24 10.102.0.0/16
  permit icmp 10.1.144.0/24 10.102.0.0/16
  permit tcp 10.1.144.0/24 10.102.0.0/16
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_REMOTE_OUT
  permit icmp 10.102.0.0/16 10.102.200.0/24
  permit icmp 10.102.0.0/16 10.102.0.0/24
  permit tcp 10.102.0.0/16 10.102.0.40/32
  permit tcp 10.102.0.0/16 10.102.0.41/32
  permit tcp 10.102.0.0/16 10.102.0.42/32
  permit tcp 10.102.0.0/16 10.102.0.43/32
  permit tcp 10.102.0.0/16 10.102.0.44/32
  permit tcp 10.102.0.0/16 10.102.0.45/32
  permit tcp 10.102.0.0/16 10.102.0.46/32
  permit tcp 10.102.0.0/16 10.102.0.47/32
  permit tcp 10.102.0.0/16 10.102.0.48/32
  permit tcp 10.102.0.0/16 10.102.0.49/32
  permit udp 10.102.0.0/16 10.102.0.40/32
  permit udp 10.102.0.0/16 10.102.0.41/32
  permit udp 10.102.0.0/16 10.102.0.42/32
  permit udp 10.102.0.0/16 10.102.0.43/32
  permit udp 10.102.0.0/16 10.102.0.44/32
  permit udp 10.102.0.0/16 10.102.0.45/32
  permit udp 10.102.0.0/16 10.102.0.46/32
  permit udp 10.102.0.0/16 10.102.0.47/32
  permit udp 10.102.0.0/16 10.102.0.48/32
  permit udp 10.102.0.0/16 10.102.0.49/32
  permit icmp 10.102.0.0/16 10.1.128.0/24
  permit tcp 10.102.0.0/16 10.1.128.0/24
  permit icmp 10.102.0.0/16 10.1.144.0/24
  permit tcp 10.102.0.0/16 10.1.144.0/24
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
access-list ACL_INTERNET_IN
  permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_INTERNET_OUT
  permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
interface FastEthernet0/Vlan300
  ip access-group ACL_REMOTE_IN in
  ip access-group ACL_REMOTE_OUT out
!
interface Bridge0
  ip access-group ACL_LOCAL_IN in
  ip access-group ACL_LOCAL_OUT out
!
interface Bridge1
  ip access-group ACL_GUEST_IN in
  ip access-group ACL_GUEST_OUT out
!
interface PPPoE0
  ip access-group ACL_INTERNET_IN in
  ip access-group ACL_INTERNET_OUT out

    Все правильно? Нужно ли для исходящих tcp-соединений задавать "зеркальные" правила или установленные соединения файрволл не блокирует?

    Помогите с настройкой Кинетика

    in Обмен опытом

    Posted

    access 300 и не нужен, у меня SVI.

    Причина была в том, что в строке switchport trunk vlan 300,390,400 Кинетик не принимал синтаксис списка и строку игнорировал, поэтому получался порт trunk без разрешенных VLAN. Добавил по одному, теперь все работает.

    • Thanks 1

    Помогите с настройкой Кинетика

    in Обмен опытом

    Posted

    Веб-интерфейс я вообще использовать не хочу, с ним конфиг (названия интерфейсов) усложняется, сложнее понять, что к чему.

    У меня должна получится такая схема, как на прикрепленном рисунке.

    Я так понял, что у меня все правильно, нужно только вообще убрать бридж для VLAN 390? Но у меня почему-то даже с самого кинетика (Tools - Diagnostic) не пингуется 10.102.200.250. И на порту коммутатора доступа я вообще не вижу MAC-адресов Кинетика на порту.

    Схема подключения.png

    • Thanks 1

    Помогите с настройкой Кинетика

    in Обмен опытом

    Posted

    Помогите настроить Кинетик под следующую задачу.

    Порт 0 Кинетика подключен в порт коммутатора провайдера. Порт коммутатора работает в режиме trunk, разрешены следующие VLAN: 300, 390, 400. VLAN 300 — отдельная закрытая подсеть с приватной адресацией (10.102.2xx/24). VLAN 390 — отдельный изолированный L2VPN, без IP-адресации, должен быть сбриджеван с портами 3 и 4. VLAN 400 — VLAN, в котором должно быть установлено PPPoE-подключение для доступа в интернет. То есть коротко: 0.400 - интернет PPPoE, 0.300 - закрытая подсеть, 0.390+3+4 - бридж, 1+2 - локальная сеть.

    Через веб-интерфейс я такое настроить не могу, он глючит и не дает выбрать нужные параметры.

    Составил такую текстовую конфигурацию (которую буду загружать вместо startup-config), просьба ее проверить и посоветовать изменения:

    Скрытый текст

      

    
! $$$ Model: ZyXEL Keenetic II
! $$$ Version: 2.06.1
! $$$ Agent: http/ci
! $$$ Last change: Fri,  7 Apr 2017 09:32:51 GMT
! $$$ Md5 checksum: 00e991046865532fb544976593d90416

system
    set net.ipv4.ip_forward 1
    set net.ipv4.tcp_fin_timeout 30
    set net.ipv4.tcp_keepalive_time 120
    set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200
    set net.ipv4.netfilter.ip_conntrack_max 10240
    set vm.swappiness 100
    no button WLAN on click
    no button WLAN on hold
    no button FN on click
    clock timezone Europe/Moscow
    clock date  7 Apr 2017 12:33:52
    domainname LIVE
    hostname GATEWAY
!
ntp server ntp.live.local
ntp server ntp.domain.ru
ntp server ru.pool.ntp.org
isolate-private
dyndns profile _WEBADMIN
!
interface FastEthernet0
    up
!
interface FastEthernet0/0
    name 0
    switchport mode trunk
    switchport trunk vlan 300,400,390
    up
!
interface FastEthernet0/1
    name 1
    switchport mode access
    switchport access vlan 1
    up
!
interface FastEthernet0/2
    name 2
    switchport mode access
    switchport access vlan 1
    up
!
interface FastEthernet0/3
    name 3
    switchport mode access
    up
!
interface FastEthernet0/4
    name 4
    switchport mode access
    up
!
interface FastEthernet0/Vlan1
    description "Home VLAN"
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface FastEthernet0/Vlan300
    description IPCAMS
    security-level public
    ip address 10.102.200.254 255.255.255.0
    ip dhcp client hostname GATEWAY
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    up
!
interface FastEthernet0/Vlan400
    description PPPOE
    security-level public
    ip mtu 1500
    up
!
interface FastEthernet0/Vlan390
    description VPN
    security-level public
    ip mtu 1500
    up
!
interface PPPoE0
    description INET
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity test
    authentication password ns3 pwd
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1492
    ip global 1000
    ip tcp adjust-mss pmtu
    up
!
interface WifiMaster0
    country-code RU
    compatibility BGN
    channel width 40-below
    power 100
    up
!
interface WifiMaster0/AccessPoint0
    name AccessPoint
    description "Wi-Fi access point"
    mac access-list type none
    security-level private
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid PRIVATE
    wmm
    down
!
interface WifiMaster0/AccessPoint1
    name GuestWiFi
    description GUEST
    mac access-list type none
    security-level protected
    encryption disable
    ip address 192.168.255.250 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid PUBLIC
    wmm
    down
!
interface WifiMaster0/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/WifiStation0
    security-level public
    encryption disable
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface Bridge0
    name Local
    description LAN
    inherit FastEthernet0/Vlan1
    include AccessPoint
    security-level private
    ip address 10.102.254.250 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface Bridge1
    name VPN
    description LAN
    inherit FastEthernet0/Vlan390
    include 3
    include 4
    security-level private
    up
!
ip route 10.102.0.0 255.255.0.0 10.102.200.250 FastEthernet0/Vlan300 auto
ip dhcp pool _WEBADMIN
    range 10.102.254.1 10.102.254.99
    lease 25200
    bind Home
    enable
!
ip dhcp pool _WEBADMIN_GUEST_AP
    range 192.168.255.1 192.168.255.99
    lease 7200
    bind GuestWiFi
    enable
!
ip name-server 10.102.0.40 "" on FastEthernet0/Vlan300
ip nat GuestWiFi
ppe software
ppe hardware
!
user admin
    password md5 pwd
    password nt pwd
    tag cli
    tag http
    tag ftp
    tag cifs
    tag printers
    tag torrent
!
user user
    password md5 pwd
    password nt pwd
    tag readonly
!
service dhcp
service dns-proxy
service cifs
service http
service telnet
service ntp-client
service upnp
cifs
    automount
    permissive
!

     

    Но такое не работает. Как правильно создать бридж?

    Вопрос по VPN PPTP

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by support@cyber.com.ru

    Что-то никак не удается добиться правильной работы VPN. Подскажите, что делаю не так?

    Есть офисная сеть 192.168.1.0/24. В этой сети есть сервер Windows 192.168.1.250, который заодно является сервером DHCP и DNS, от него по DHCP клиенты получают сетевые параметры: DNS 192.168.1.250 и шлюз 192.168.1.254. 192.168.1.254 - это Zyxel Keenetic.

    На Zyxel Keenetic в локальной сети задан IP-адрес 192.168.1.254/24, включен NAT, выключен DHCP. Также на Zyxel Keenetic созданы следующие внешние подключения: PPPoE-подключение к интернету (используемое по умолчанию) и два подключения по выделенной линии со статически заданными IP-адресами: 10.1.144.3/24 (служебная закрытая сеть) и xx.yy.124.80/25 (публичная сеть). Также на Zyxel Keenetic добавлены статические маршруты на 10.0.0.0/8 (через интерфейс с 10.1.144.3) и на xx.yy.124.0/22 (через интерфейс с xx.yy.124.80). Кроме того, для этих интерфейсов добавлены DNS-сервера (10.1.128.11 и xx.yy.124.1).

    Из офисной сети все работает отлично - выход в интернет через PPPoE, доступ к публичной сети xx.yy.124.0/22 натится через xx.yy.124.80, доступ к служебной сети 10.0.0.0/8 натится через 10.1.144.3.

    Теперь я хочу обеспечить возможность подключения к офисной сети и офисным ресурсам через VPN. Добавил компонент VPN-сервер, добавил пользователя с правом доступа VPN-сервер, в разделе "Приложения" включил VPN-сервер, настроил диапазон 192.168.1.100-109 (этот диапазон исключен из пула адресов DHCP-сервера), для VPN-подключений включил NAT.

    На удаленном ПК настраиваю VPN-подключение, успешно подключаюсь, получаю IP-адрес 192.168.1.100. Узлы из 192.168.1.0/24 успешно пингуются, в интернет через PPPoE выхожу. Но узлы в xx.yy.124.0/22 и 10.0.0.0/8 недоступны. Отчего так?

    Если для дополнительных интерфейсов (10.1.144.3 и xx.yy.124.80) указать security-level private, то эти интерфейсы появляются в настройках VPN-сервера (выпадающий список с выбором интерфейсов, к которым нужно давать доступ). При выборе этих интерфейсов после установки VPN-подключения к узлам в этих подсетях доступ появляется, но пропадает к остальным. Ну и офисная сеть перестает работать, так как для security-level private они более не натятся.

    У меня есть подозрение, что при включении NAT в настройках VPN-сервера трансляция осуществляется только на те интерфейсы, у которых в свойствах отмечено, что они используются для выхода в интернет.

    Добавить возможность передачи опций в DHCP

    in Реализованные пожелания

    Posted

    Здравствуйте.
    У меня есть устройство Sagemcom DSI87-1, это IPTV-приставка НТВ+.
    Для правильной работы приставка должна получать по DHCP адрес IPTV-портала, который передается в DHCP-опции 72 (опция 72 "Серверы WWW"). Других способов настройки на данном устройстве не предусмотрено.
    Подскажите, можно ли это сделать каким-то образом на Кинетике (через веб-интерфейс, прямым редактированием конфигурационного файла, с помощью расширения Opkg)?
    Или единственный вариант это поставить через OPKG среду Debian?

    • Thanks 1

    Странная проблема с WiFi на всех Кинетиках

    in Обмен опытом

    Posted

    Уже несколько лет наблюдается такая проблема.
    Есть Zyxel Keenetic, раздает WiFi в режиме WPA2. К нему проводом подключены стационарный ПК и ТВ-приставка. По WiFi к нему подключена ТВ-приставка Dune HD Connect, а также несколько других устройств (ноутбук, смартфон). Dune HD Connect запитана от USB-порта телевизора.

    Странность-1 в следующем. Если я выключаю телевизор (т.е. отключаю Dune HD Connect по питанию), то на некоторое время перестает работать WiFi. Визуально сигнал есть, однако передача данных не идет. Если на беспроводном устройстве (ноутбуке, смартфоне) ничего не трогать, то примерно через минуту прохождение трафика возобновляется и все работает. Если попытаться переподключиться (то есть на беспроводном устройстве выключить и включить беспроводную сеть), то минуты три устройство подключиться не сможет, затем подключение происходит успешно. В логах Zyxel в этот момент какие-то ошибки о просроченных ключах WPA (дословно не помню, если это важно, могу повторить и выложить фрагмент из логов).
    Если Dune Connect не трогать (то есть не включать или не выключать), то WiFi без каких-либо проблем работает с утра до вечера.
    Если Dune Connect подключить проводом, то при ее отключении таких проблем нет.
    Если Dune Connect выключить ее собственным пультом, не выключая телевизор (т.е. питание по USB приставка продолжает получать), то WiFi работает нормально. Если выключить телевизор на уже выключенной с пульта приставки, то WiFi на некоторое время перестает работать, т.е. странность повторяется.

    Странность-2: я несколько раз менял маршрутизаторы, самые различные модели (обычные кинетики 1, 2 и 3, гига 2 и 3), всего пробовал 5 или 6 разных устройств с разными прошивками.
    Первое время (от одного до нескольких месяцев) все работает нормально, при выключении ТВ-приставки Dune HD Connect ничего не зависает. Затем через некоторое время странность-1 возобновляется.

×
×
  • Create New...