Jump to content
  • 0

Как предоставить доступ к принтеру из другой локальной сети.


Евгенич
 Share

Question

Здравствуйте,

К сожалению я еще пока начинающий в области роутеров, потому прошу помощи в следующей ситуации:

На роутере создал сеть "Админ" (сеть Х.X.11.0) и сеть "Домашняя" (сеть Х.X.22.0), клиенты "Домашней сети" не имеют доступа к приложениям и другим устройствам сети (галочка включена на пункте "Изоляция клиентов" (Запрещает беспроводным клиентам обмен информацией между собой и проводным сегментом) и галочка отключена на пункте "Доступ к приложениям домашней сети"). К сети "Админ" подключен принтер с адресом Х.Х.11.77. Задача стоит в том, как клиентам сети Домашняя предоставить доступ ТОЛЬКО к данному принтеру (исключая доступ к другим устройствам сети Админ.)?

Скажите может кто сталкивался с данной проблемой? По форуму искал, но не нашел подобного решения, хотя возможно плохо искал. Если тема подобная обсуждалась и есть готовое решение - прошу опубликовать ссылку на соответствующую тему. 

Спасибо.

Edited by Евгенич
Link to comment
Share on other sites

24 answers to this question

Recommended Posts

  • 0
4 минуты назад, Евгенич сказал:

принтер с адресом Х.Х.11.77.

Создайте статические маршруты, разрешающие входящие на адрес принтера из интересующей подсети.

Link to comment
Share on other sites

  • 0
20 минут назад, ANDYBOND сказал:

Создайте статические маршруты, разрешающие входящие на адрес принтера из интересующей подсети.

Спасибо за ответ, но не могу понять что куда прописывать. Можете помочь в этом?

Конкретно, нет понимания какой адрес шлюза прописать и что выбрать в поле Интерфейс, чтобы все заработало?

Link to comment
Share on other sites

  • 0
37 минут назад, Евгенич сказал:

Можете помочь в этом?

https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#1

Посмотрите первый же пример. Только вместо Интернета у Вас будет локальная сеть из другой подсети. Именно в Сетевом экране оформляются исключения при использовании изоляции сегментов по умолчанию.

Link to comment
Share on other sites

  • 0
26 минут назад, ANDYBOND сказал:

Вот есть более конкретный пример как раз для подобных случаев.

1270308791_2022-10-0212_52_09.thumb.png.6d1fbd58c50fe4ff0da2404e26f5a938.png

Правильно ли я Вас понял, опишу в терминах своей задачи, что необходимо зайти в "Межсетевой экран" и открыть вкладку "Админ", затем добавить правило, как на рисунке выше? 

Если все верно, то данный вариант не приводит к желаемому результату.

Link to comment
Share on other sites

  • 0

Источник - исходная подсеть, а не любой. Но. Очевидно, нужен ещё и обратный маршрут от принтера в исходную подсеть, как показано в статье.

Link to comment
Share on other sites

  • 0

Спасибо большое, за помощь, только я ранее писал, что я новичек в этом потому на пальцах не могу понять, что да как, по мне лучше картинки))

Правильно ли я вас понял, что сначала во вкладке Админ пишу правило одно (рисунок ниже) и затем прописываю второе правило во вкладке Домашняя (см. картинку). Если так, то не работает.

946991009_2022-10-0213_12_43.thumb.png.95c7484aa4ed719e2b4779ea5730cdbd.png298030924_2022-10-0213_12_17.thumb.png.f2036494a32ea072805a9e76bf5800df.png 

Link to comment
Share on other sites

  • 0

Тогда начните со снятия изоляции, после чего, перезагрузив маршрутизатор, проверьте, что без изоляции оно работает.

Link to comment
Share on other sites

  • 0

Не могу понять что не так? Выключал и выключал как правила так и изоляцию - не работает. может не в том дело?

Уверен, что многие с этим сталкивались - прошу помощи посильной, наверняка вопрос для вас очень простой.

Link to comment
Share on other sites

  • 0
1 минуту назад, Евгенич сказал:

Выключал и выключал как правила так и изоляцию - не работает. может не в том дело?

Иными словами, принтер через NAT не работает. В чём я и хотел удостовериться, ибо иначе б всё работало с правилами.

Link to comment
Share on other sites

  • 0
5 минут назад, Евгенич сказал:

что многие с этим сталкивались

Тезподдержка Кинетика Вам в помошь. Но это не точно.

Link to comment
Share on other sites

  • 0
Posted (edited)

@ANDYBOND Большущее вам спасибо за наводку. Так же, выражаю свою благодарность @r13 за сам рецепт.
По второму рецепту заработало (ниже адаптация к моему случаю):

Итак, для начала я узнал id своих Домашней и Админ сетей при помощи следующей команды в интерфейсе конфигурации http://IP_роутера:PORT/a , после вывода команды ниже, в выведенном списке нашел название своих сетей и записал на бумажке их id (в моем случае Bridge3 для Домашняя и Bridge0 для Админ)

show interface 

Затем, там же, переключил Домашнюю сеть в режим private:

interface Bridge3 security-level private

Включил mDNS рефлектор:

mdns reflector enforce

Далее, ввел последовательно команды ниже и настроил правила firewall для доступа из сегмента Домашняя (сетка ХХ.ХХ.22.0) к своему принтеру по адресу ХХ.ХХ.11.77 (из подсети Админ). Здесь, назвал создаваемое правило согласно своей задаче printer_access

access-list printer_access
   permit tcp ХХ.ХХ.22.0 255.255.255.0 ХХ.ХХ.11.77 255.255.255.255
exit

Теперь подключил созданный acl под именем printer_access к сегменту Админ (id=Bridge0)

interface Bridge0 ip access-group printer_access out
system configuration save

Далее подключился к сети Домашняя и попробовал распечатать документ - все заработало!

Еще раз, большое спасибо!
Вопрос закрыт.

 

Edited by Евгенич
  • Thanks 1
Link to comment
Share on other sites

  • 0

Одно только замечание - для работы данного метода все-таки необходимо включить галку на пункте "Доступ к приложениям домашней сети", при включенной изоляции клиентов. При отключении "Доступ к приложениям домашней сети" доступ к сожалению у меня отсутствовал.  

  • Thanks 1
Link to comment
Share on other sites

  • 0
14 часа назад, Евгенич сказал:

Одно только замечание - для работы данного метода все-таки необходимо включить галку на пункте "Доступ к приложениям домашней сети",

Знающие люди подскажите, кто знает, как обойти данное ограничение: чтобы изолированные клиенты в сети, имели доступ к принтеру из другой сети и не имели доступ к приложениям роутера?

  • Confused 1
Link to comment
Share on other sites

  • 0
2 часа назад, Евгенич сказал:

Знающие люди подскажите, кто знает, как обойти данное ограничение: чтобы изолированные клиенты в сети, имели доступ к принтеру из другой сети и не имели доступ к приложениям роутера?

То есть немного умер или чуть-чуть беременна? Это так не работает!

  • Thanks 1
Link to comment
Share on other sites

  • 0
1 час назад, Mamay сказал:

То есть немного умер или чуть-чуть беременна? Это так не работает!

Пожалуйста проясните для меня данный вопрос. 

Хотел сделать так, чтобы домашние пользователи были изолированы, как друг от друга, так и от остальной инфраструктуры сети, также не имели доступ к приложениям роутера (самба, торрент, ssh и пр. ), но при этом имели доступ к принтеру из соседней сети.

Или возможен только вариант, когда все тоже самое, но они обязательно будут иметь доступ приложениям роутера (самба, торрент, ssh и пр. )? 

Link to comment
Share on other sites

  • 0
17 минут назад, Евгенич сказал:

... когда все тоже самое, но они обязательно будут иметь доступ приложениям роутера (самба, торрент, ssh и пр. )? 

Джа всемогущ и всемилостив!

Link to comment
Share on other sites

  • 0
27 минут назад, Mamay сказал:

Джа всемогущ и всемилостив!

Ничего не понял из ответа, но предполагаю, что второй вариант моего предположения по вашему мнению верен.
Можете пояснить или направить на статью, которая может пояснить почему это так?

Link to comment
Share on other sites

  • 0
20 часов назад, Евгенич сказал:

Одно только замечание - для работы данного метода все-таки необходимо включить галку на пункте "Доступ к приложениям домашней сети", при включенной изоляции клиентов. При отключении "Доступ к приложениям домашней сети" доступ к сожалению у меня отсутствовал.

Отключение галочки "Доступ к приложениям домашней сети" устанавливает security-level выбранного сегмента в protected. А, как вы уже узнали из поста о настройки AirPrint между сегментами: "Требуется 2 сегмента с security-level private так как mdns работает только с private интерфейсами"

  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...