Как предоставить доступ к принтеру из другой локальной сети.

[Евгенич]

Здравствуйте,

К сожалению я еще пока начинающий в области роутеров, потому прошу помощи в следующей ситуации:

На роутере создал сеть "Админ" (сеть Х.X.11.0) и сеть "Домашняя" (сеть Х.X.22.0), клиенты "Домашней сети" не имеют доступа к приложениям и другим устройствам сети (галочка включена на пункте "Изоляция клиентов" (Запрещает беспроводным клиентам обмен информацией между собой и проводным сегментом) и галочка отключена на пункте "Доступ к приложениям домашней сети"). К сети "Админ" подключен принтер с адресом Х.Х.11.77. Задача стоит в том, как клиентам сети Домашняя предоставить доступ ТОЛЬКО к данному принтеру (исключая доступ к другим устройствам сети Админ.)?

Скажите может кто сталкивался с данной проблемой? По форуму искал, но не нашел подобного решения, хотя возможно плохо искал. Если тема подобная обсуждалась и есть готовое решение - прошу опубликовать ссылку на соответствующую тему. 

Спасибо.

Edited October 2, 2022 by Евгенич

[Евгенич]

20 минут назад, ANDYBOND сказал:

Создайте статические маршруты, разрешающие входящие на адрес принтера из интересующей подсети.

Спасибо за ответ, но не могу понять что куда прописывать. Можете помочь в этом?

Конкретно, нет понимания какой адрес шлюза прописать и что выбрать в поле Интерфейс, чтобы все заработало?

[Евгенич]

26 минут назад, ANDYBOND сказал:

Вот есть более конкретный пример как раз для подобных случаев.

Правильно ли я Вас понял, опишу в терминах своей задачи, что необходимо зайти в "Межсетевой экран" и открыть вкладку "Админ", затем добавить правило, как на рисунке выше? 

Если все верно, то данный вариант не приводит к желаемому результату.

[Евгенич]

Спасибо большое, за помощь, только я ранее писал, что я новичек в этом потому на пальцах не могу понять, что да как, по мне лучше картинки))

Правильно ли я вас понял, что сначала во вкладке Админ пишу правило одно (рисунок ниже) и затем прописываю второе правило во вкладке Домашняя (см. картинку). Если так, то не работает.

 

[Евгенич]

43 минуты назад, ANDYBOND сказал:

Второе правило - наоборот, с конкретного адреса на подсеть.

Не помогло, к сожалению.

[Евгенич]

Не могу понять что не так? Выключал и выключал как правила так и изоляцию - не работает. может не в том дело?

Уверен, что многие с этим сталкивались - прошу помощи посильной, наверняка вопрос для вас очень простой.

[Евгенич]

@ANDYBOND Большущее вам спасибо за наводку. Так же, выражаю свою благодарность @r13 за сам рецепт.
По второму рецепту заработало (ниже адаптация к моему случаю):

Итак, для начала я узнал id своих Домашней и Админ сетей при помощи следующей команды в интерфейсе конфигурации http://IP_роутера:PORT/a , после вывода команды ниже, в выведенном списке нашел название своих сетей и записал на бумажке их id (в моем случае Bridge3 для Домашняя и Bridge0 для Админ)

show interface 

Затем, там же, переключил Домашнюю сеть в режим private:

interface Bridge3 security-level private

Включил mDNS рефлектор:

mdns reflector enforce

Далее, ввел последовательно команды ниже и настроил правила firewall для доступа из сегмента Домашняя (сетка ХХ.ХХ.22.0) к своему принтеру по адресу ХХ.ХХ.11.77 (из подсети Админ). Здесь, назвал создаваемое правило согласно своей задаче printer_access

access-list printer_access
   permit tcp ХХ.ХХ.22.0 255.255.255.0 ХХ.ХХ.11.77 255.255.255.255
exit

Теперь подключил созданный acl под именем printer_access к сегменту Админ (id=Bridge0)

interface Bridge0 ip access-group printer_access out
system configuration save

Далее подключился к сети Домашняя и попробовал распечатать документ - все заработало!

Еще раз, большое спасибо!
Вопрос закрыт.

 

Edited October 3, 2022 by Евгенич

[Евгенич]

Одно только замечание - для работы данного метода все-таки необходимо включить галку на пункте "Доступ к приложениям домашней сети", при включенной изоляции клиентов. При отключении "Доступ к приложениям домашней сети" доступ к сожалению у меня отсутствовал.  

[Евгенич]

14 часа назад, Евгенич сказал:

Одно только замечание - для работы данного метода все-таки необходимо включить галку на пункте "Доступ к приложениям домашней сети",

Знающие люди подскажите, кто знает, как обойти данное ограничение: чтобы изолированные клиенты в сети, имели доступ к принтеру из другой сети и не имели доступ к приложениям роутера?

[Mamay]

2 часа назад, Евгенич сказал:

Знающие люди подскажите, кто знает, как обойти данное ограничение: чтобы изолированные клиенты в сети, имели доступ к принтеру из другой сети и не имели доступ к приложениям роутера?

То есть немного умер или чуть-чуть беременна? Это так не работает!

[Евгенич]

1 час назад, Mamay сказал:

То есть немного умер или чуть-чуть беременна? Это так не работает!

Пожалуйста проясните для меня данный вопрос. 

Хотел сделать так, чтобы домашние пользователи были изолированы, как друг от друга, так и от остальной инфраструктуры сети, также не имели доступ к приложениям роутера (самба, торрент, ssh и пр. ), но при этом имели доступ к принтеру из соседней сети.

Или возможен только вариант, когда все тоже самое, но они обязательно будут иметь доступ приложениям роутера (самба, торрент, ssh и пр. )? 

[Mamay]

17 минут назад, Евгенич сказал:

... когда все тоже самое, но они обязательно будут иметь доступ приложениям роутера (самба, торрент, ssh и пр. )? 

Джа всемогущ и всемилостив!

[Евгенич]

27 минут назад, Mamay сказал:

Джа всемогущ и всемилостив!

Ничего не понял из ответа, но предполагаю, что второй вариант моего предположения по вашему мнению верен.
Можете пояснить или направить на статью, которая может пояснить почему это так?

[Mamay]

9 минут назад, Евгенич сказал:

Можете пояснить или направить на статью, которая может пояснить почему это так?

К примеру

[Werld]

20 часов назад, Евгенич сказал:

Одно только замечание - для работы данного метода все-таки необходимо включить галку на пункте "Доступ к приложениям домашней сети", при включенной изоляции клиентов. При отключении "Доступ к приложениям домашней сети" доступ к сожалению у меня отсутствовал.

Отключение галочки "Доступ к приложениям домашней сети" устанавливает security-level выбранного сегмента в protected. А, как вы уже узнали из поста о настройки AirPrint между сегментами: "Требуется 2 сегмента с security-level private так как mdns работает только с private интерфейсами"