Помогите с настройкой Кинетика

[support@cyber.com.ru]

Помогите настроить Кинетик под следующую задачу.

Порт 0 Кинетика подключен в порт коммутатора провайдера. Порт коммутатора работает в режиме trunk, разрешены следующие VLAN: 300, 390, 400. VLAN 300 — отдельная закрытая подсеть с приватной адресацией (10.102.2xx/24). VLAN 390 — отдельный изолированный L2VPN, без IP-адресации, должен быть сбриджеван с портами 3 и 4. VLAN 400 — VLAN, в котором должно быть установлено PPPoE-подключение для доступа в интернет. То есть коротко: 0.400 - интернет PPPoE, 0.300 - закрытая подсеть, 0.390+3+4 - бридж, 1+2 - локальная сеть.

Через веб-интерфейс я такое настроить не могу, он глючит и не дает выбрать нужные параметры.

Составил такую текстовую конфигурацию (которую буду загружать вместо startup-config), просьба ее проверить и посоветовать изменения:

Скрытый текст

 

! $$$ Model: ZyXEL Keenetic II
! $$$ Version: 2.06.1
! $$$ Agent: http/ci
! $$$ Last change: Fri,  7 Apr 2017 09:32:51 GMT
! $$$ Md5 checksum: 00e991046865532fb544976593d90416

system
    set net.ipv4.ip_forward 1
    set net.ipv4.tcp_fin_timeout 30
    set net.ipv4.tcp_keepalive_time 120
    set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200
    set net.ipv4.netfilter.ip_conntrack_max 10240
    set vm.swappiness 100
    no button WLAN on click
    no button WLAN on hold
    no button FN on click
    clock timezone Europe/Moscow
    clock date  7 Apr 2017 12:33:52
    domainname LIVE
    hostname GATEWAY
!
ntp server ntp.live.local
ntp server ntp.domain.ru
ntp server ru.pool.ntp.org
isolate-private
dyndns profile _WEBADMIN
!
interface FastEthernet0
    up
!
interface FastEthernet0/0
    name 0
    switchport mode trunk
    switchport trunk vlan 300,400,390
    up
!
interface FastEthernet0/1
    name 1
    switchport mode access
    switchport access vlan 1
    up
!
interface FastEthernet0/2
    name 2
    switchport mode access
    switchport access vlan 1
    up
!
interface FastEthernet0/3
    name 3
    switchport mode access
    up
!
interface FastEthernet0/4
    name 4
    switchport mode access
    up
!
interface FastEthernet0/Vlan1
    description "Home VLAN"
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface FastEthernet0/Vlan300
    description IPCAMS
    security-level public
    ip address 10.102.200.254 255.255.255.0
    ip dhcp client hostname GATEWAY
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    up
!
interface FastEthernet0/Vlan400
    description PPPOE
    security-level public
    ip mtu 1500
    up
!
interface FastEthernet0/Vlan390
    description VPN
    security-level public
    ip mtu 1500
    up
!
interface PPPoE0
    description INET
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity test
    authentication password ns3 pwd
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1492
    ip global 1000
    ip tcp adjust-mss pmtu
    up
!
interface WifiMaster0
    country-code RU
    compatibility BGN
    channel width 40-below
    power 100
    up
!
interface WifiMaster0/AccessPoint0
    name AccessPoint
    description "Wi-Fi access point"
    mac access-list type none
    security-level private
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid PRIVATE
    wmm
    down
!
interface WifiMaster0/AccessPoint1
    name GuestWiFi
    description GUEST
    mac access-list type none
    security-level protected
    encryption disable
    ip address 192.168.255.250 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid PUBLIC
    wmm
    down
!
interface WifiMaster0/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/WifiStation0
    security-level public
    encryption disable
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface Bridge0
    name Local
    description LAN
    inherit FastEthernet0/Vlan1
    include AccessPoint
    security-level private
    ip address 10.102.254.250 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface Bridge1
    name VPN
    description LAN
    inherit FastEthernet0/Vlan390
    include 3
    include 4
    security-level private
    up
!
ip route 10.102.0.0 255.255.0.0 10.102.200.250 FastEthernet0/Vlan300 auto
ip dhcp pool _WEBADMIN
    range 10.102.254.1 10.102.254.99
    lease 25200
    bind Home
    enable
!
ip dhcp pool _WEBADMIN_GUEST_AP
    range 192.168.255.1 192.168.255.99
    lease 7200
    bind GuestWiFi
    enable
!
ip name-server 10.102.0.40 "" on FastEthernet0/Vlan300
ip nat GuestWiFi
ppe software
ppe hardware
!
user admin
    password md5 pwd
    password nt pwd
    tag cli
    tag http
    tag ftp
    tag cifs
    tag printers
    tag torrent
!
user user
    password md5 pwd
    password nt pwd
    tag readonly
!
service dhcp
service dns-proxy
service cifs
service http
service telnet
service ntp-client
service upnp
cifs
    automount
    permissive
!

 

Но такое не работает. Как правильно создать бридж?

[support@cyber.com.ru]

Сделал такой конфиг. Вроде бы все правильно, но нет доступа к закрытой сети и нет доступа к интернет. Не подскажите, что неправильно?

config.txt

[KorDen]

В качестве отправной точки можно воспользоваться штатными возможностями веб-интерфейса - используя "VLAN для доступа в Интернет/IPTV/телефонии" указать VLANы, скажем за IPTV посчитать L2VPN и поставить галки "приставки" на портах 3 и 4, в качестве влана телфонии указать влан приватной сети, но галку на портах не ставить. После такой настройки должно работать все кроме приватной сети.

Приватную сеть надо будет донастроить вручную в FastEthernet0/Vlan300, после этого в вебе исправлять уже нельзя естественно.

По вашему конфигу. сходу, специально бриджевать порты для L2VPN не нужно, все работает на уровне вланов, т.е. Bridge2 нужно удалить

Edited April 7, 2017 by KorDen

[Le ecureuil]

Вроде вот так должно быть все ок

Скрытый текст

 

! $$$ Model: ZyXEL Keenetic II
! $$$ Version: 2.06.1

! Interfaces:
! FastEthernet0/Vlan1 (VLAN-LOCAL)
! FastEthernet0/Vlan300 (VLAN-REMOTE)
! FastEthernet0/Vlan400 (VLAN-INTERNET)
! FastEthernet0/Vlan390 (VLAN-PRIVATE)
! WifiMaster0/AccessPoint0 (WIFI-LOCAL)
! WifiMaster0/AccessPoint1 (WIFI-GUEST)
! Bridge0 (IF-LOCAL)
! Bridge1 (IF-GUEST)
! PPPoE0  (IF-INTERNET)

system
  set net.ipv4.ip_forward 1
  set net.ipv4.tcp_fin_timeout 30
  set net.ipv4.tcp_keepalive_time 120
  set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200
  set net.ipv4.netfilter.ip_conntrack_max 10240
  set vm.swappiness 100
  no button FN on click
  no button FN on double-click
  no button FN on hold
  no button WLAN on click
  no button WLAN on double-click
  no button WLAN on hold
  clock timezone Europe/Moscow
  domainname CHERKESSK-LIVE
  hostname GATEWAY-203
  exit
!
user admin
  password adm
  tag cli
  tag http
  tag ftp
  exit
!
user user
  password usr
  tag readonly
  exit
!
interface FastEthernet0
  up
  exit
!
interface FastEthernet0/0
  name 0
  switchport mode trunk
  switchport trunk vlan 300,390,400
  up
  exit
!
interface FastEthernet0/1
  name 1
  switchport mode access
  switchport access vlan 1
  up
  exit
!
interface FastEthernet0/2
  name 2
  switchport mode access
  switchport access vlan 1
  up
  exit
!
interface FastEthernet0/3
  name 3
  switchport mode access
  switchport access vlan 390
  up
  exit
!
interface FastEthernet0/4
  name 4
  switchport mode access
  switchport access vlan 390
  up
  exit
!
interface FastEthernet0/Vlan1
  name VLAN-LOCAL
  description "[vlan] Local Network"
  security-level private
  ip dhcp client dns-routes
  ip dhcp client name-servers
  up
  exit
!
interface FastEthernet0/Vlan300
  name VLAN-REMOTE
  description "[vlan] IPCams Network"
  security-level public
  ip address 10.102.200.254/24
  ip dhcp client hostname GATEWAY
  ip dhcp client dns-routes
  ip dhcp client name-servers
  ip mtu 1500
  up
  exit
!
interface FastEthernet0/Vlan390
  name VLAN-PRIVATE
  description "[vlan] Private Network"
  security-level protected
  ip mtu 1500
  up
  exit
!
interface FastEthernet0/Vlan400
  name VLAN-INTERNET
  description "[vlan] Internet Network"
  security-level public
  ip mtu 1500
  up
  exit
!
interface WifiMaster0
  country-code RU
  compatibility BGN
  channel width 40-below
  power 100
  up
  exit
!
interface WifiMaster0/AccessPoint0
  name WIFI-LOCAL
  description "[wifi] Local Network"
  mac access-list type none
  security-level private
  ip dhcp client dns-routes
  ip dhcp client name-servers
  ssid PRIVATE
  encryption enable
  encryption wpa2
  authentication wpa-psk pwd
  no wps
  wmm
  down
  exit
!
interface WifiMaster0/AccessPoint1
  name WIFI-GUEST
  description "[wifi] Guest Network"
  mac access-list type none
  security-level protected
  encryption disable
  ip address 192.168.255.250/24
  ip dhcp client dns-routes
  ip dhcp client name-servers
  ssid PUBLIC
  wmm
  down
  exit
!
interface Bridge0
  name IF-LOCAL
  description "[bridge] Local Network"
  inherit VLAN-LOCAL
  include WIFI-LOCAL
  security-level private
  ip address 10.102.203.250/24
  ip dhcp client dns-routes
  ip dhcp client name-servers
  up
  exit
!
interface Bridge1
  name IF-GUEST
  description "[bridge] Guest Network"
  inherit WIFI-GUEST
  up
  exit
!
interface PPPoE0
  name IF-INTERNET
  description "[ppp] Internet"
  security-level public
  authentication identity user
  authentication password pass
  no ipv6cp
  no ccp
  connect via VLAN-INTERNET
  lcp echo 30 3
  ipcp default-route
  ipcp name-servers
  ipcp dns-routes
  ip mtu 1492
  ip tcp adjust-mss pmtu
  ip dhcp client dns-routes
  ip dhcp client name-servers
  ip global 1000
  up
  exit
!
ip dhcp pool _WEBADMIN
  range 10.102.203.1 10.102.203.99
  default-router 10.102.203.250
  dns-server 10.102.203.250
  lease 86400
  bind IF-LOCAL
  enable
  exit
!
ip dhcp pool _WEBADMIN_GUEST_AP
  range 192.168.255.1 192.168.255.99
  default-router 192.168.255.250
  dns-server 192.168.255.250
  lease 86400
  bind IF-GUEST
  enable
  exit
!
ppe software
ppe hardware
!
ip search-domain "cherkessk-live.local"
ip name-server 10.102.0.40 "" on VLAN-REMOTE
ip name-server 10.102.0.40 "cherkessk-live.local" on VLAN-REMOTE
!
isolate-private
!
ip nat IF-LOCAL
ip nat IF-GUEST
!
ip route 10.102.0.0/16 10.102.200.250 VLAN-REMOTE auto
ip route default IF-INTERNET auto
!
ntp
ntp server ntp.cherkessk-live.local
ntp server ntp.cyber.com.ru
ntp server ru.pool.ntp.org
ntp sync-period 120
!
service telnet
service http
service ntp-client
service dhcp
service dns-proxy
service cifs

 

 

[support@cyber.com.ru]

Веб-интерфейс я вообще использовать не хочу, с ним конфиг (названия интерфейсов) усложняется, сложнее понять, что к чему.

У меня должна получится такая схема, как на прикрепленном рисунке.

Я так понял, что у меня все правильно, нужно только вообще убрать бридж для VLAN 390? Но у меня почему-то даже с самого кинетика (Tools - Diagnostic) не пингуется 10.102.200.250. И на порту коммутатора доступа я вообще не вижу MAC-адресов Кинетика на порту.

[support@cyber.com.ru]

Мда.

Причина оказалась здесь:

interface FastEthernet0/0
...
  switchport trunk vlan 300,390,400

Не понимает он список. Нужно просто три раза строку указать с разными vlan.

[metahor]

34 минуты назад, support@cyber.com.ru сказал:

Веб-интерфейс я вообще использовать не хочу, с ним конфиг (названия интерфейсов) усложняется, сложнее понять, что к чему.

У меня должна получится такая схема, как на прикрепленном рисунке.

Я так понял, что у меня все правильно, нужно только вообще убрать бридж для VLAN 390? Но у меня почему-то даже с самого кинетика (Tools - Diagnostic) не пингуется 10.102.200.250. И на порту коммутатора доступа я вообще не вижу MAC-адресов Кинетика на порту.

 

А с кинетика и не будет пинговаться,потому что у вас влане 300 нигде тег не снимается,нету аксесс 300 ни на одном порту.

[support@cyber.com.ru]

access 300 и не нужен, у меня SVI.

Причина была в том, что в строке switchport trunk vlan 300,390,400 Кинетик не принимал синтаксис списка и строку игнорировал, поэтому получался порт trunk без разрешенных VLAN. Добавил по одному, теперь все работает.

[support@cyber.com.ru]

Теперь нужно навесить на маршрутизатор ACL.

Из гостевой сети доступ разрешен только в интернет.

Из локальной сети доступ разрешен в интернет, а доступ в приватную сеть (VLAN 300) должен быть разрешен только на узлы 10.102.0.40, 10.102.0.41, 10.102.200.0/24.

10.1.128.0/24 и 10.1.144.0/24 - это подсети, из которых должен быть разрешен telnet и http на маршрутизатор.

Добавил такую конфигурацию:

!
access-list ACL_LOCAL_IN
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_LOCAL_OUT
  permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
access-list ACL_GUEST_IN
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_GUEST_OUT
  permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
access-list ACL_REMOTE_IN
  permit icmp 10.102.200.0/24 10.102.0.0/16
  permit icmp 10.102.0.0/24 10.102.0.0/16
  permit tcp 10.102.0.0/24 10.102.0.0/16
  permit udp 10.102.0.0/24 10.102.0.0/16
  permit icmp 10.1.128.0/24 10.102.0.0/16
  permit tcp 10.1.128.0/24 10.102.0.0/16
  permit icmp 10.1.144.0/24 10.102.0.0/16
  permit tcp 10.1.144.0/24 10.102.0.0/16
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_REMOTE_OUT
  permit icmp 10.102.0.0/16 10.102.200.0/24
  permit icmp 10.102.0.0/16 10.102.0.0/24
  permit tcp 10.102.0.0/16 10.102.0.40/32
  permit tcp 10.102.0.0/16 10.102.0.41/32
  permit tcp 10.102.0.0/16 10.102.0.42/32
  permit tcp 10.102.0.0/16 10.102.0.43/32
  permit tcp 10.102.0.0/16 10.102.0.44/32
  permit tcp 10.102.0.0/16 10.102.0.45/32
  permit tcp 10.102.0.0/16 10.102.0.46/32
  permit tcp 10.102.0.0/16 10.102.0.47/32
  permit tcp 10.102.0.0/16 10.102.0.48/32
  permit tcp 10.102.0.0/16 10.102.0.49/32
  permit udp 10.102.0.0/16 10.102.0.40/32
  permit udp 10.102.0.0/16 10.102.0.41/32
  permit udp 10.102.0.0/16 10.102.0.42/32
  permit udp 10.102.0.0/16 10.102.0.43/32
  permit udp 10.102.0.0/16 10.102.0.44/32
  permit udp 10.102.0.0/16 10.102.0.45/32
  permit udp 10.102.0.0/16 10.102.0.46/32
  permit udp 10.102.0.0/16 10.102.0.47/32
  permit udp 10.102.0.0/16 10.102.0.48/32
  permit udp 10.102.0.0/16 10.102.0.49/32
  permit icmp 10.102.0.0/16 10.1.128.0/24
  permit tcp 10.102.0.0/16 10.1.128.0/24
  permit icmp 10.102.0.0/16 10.1.144.0/24
  permit tcp 10.102.0.0/16 10.1.144.0/24
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
access-list ACL_INTERNET_IN
  permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
access-list ACL_INTERNET_OUT
  permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
  exit
!
interface FastEthernet0/Vlan300
  ip access-group ACL_REMOTE_IN in
  ip access-group ACL_REMOTE_OUT out
!
interface Bridge0
  ip access-group ACL_LOCAL_IN in
  ip access-group ACL_LOCAL_OUT out
!
interface Bridge1
  ip access-group ACL_GUEST_IN in
  ip access-group ACL_GUEST_OUT out
!
interface PPPoE0
  ip access-group ACL_INTERNET_IN in
  ip access-group ACL_INTERNET_OUT out

Все правильно? Нужно ли для исходящих tcp-соединений задавать "зеркальные" правила или установленные соединения файрволл не блокирует?

[ndm]

В 4/7/2017 в 12:58, support@cyber.com.ru сказал:

switchport trunk vlan 300,400,390

Правильно так:

switchport trunk vlan 300
switchport trunk vlan 400
switchport trunk vlan 390

[ndm]

11 минуту назад, support@cyber.com.ru сказал:

access-list ACL_LOCAL_IN
   deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
   exit
access-list ACL_LOCAL_OUT
   ... 

exit не нужен, он сам перейдет выше по контексту.

[ndm]

3 часа назад, support@cyber.com.ru сказал:

нужно только вообще убрать бридж для VLAN 390?

Да. Достаточно включить порты 0, 3, 4 в один VLAN, но такое прокатит не на всех моделях. На Giga III и Ultra II синий порт вынесен в отдельный интерфейс, поэтому там бридж нужен.