Получить доступ к устройству гостевой сети из обычной

[Satori]

Подскажите по такой задаче.
Есть Keenetic KN-1010, настроена "обычная" wi-fi сеть 192.168.0.0. Создал гостевую на 10.1.30.0. Далее хочу с устройства первой сети получить доступ ко подключенному к гостевой. Естественно, просто так "чужая" сеть даже не пингуется. Настройка "Изоляция клиентов" отключена.
Возможно ли это и как настроить? Ранее всё необходимое удавалось настроить по хелпам Кинетика, но именно этот нюанс нигде не описан.

[r13]

21 минуту назад, Satori сказал:

Подскажите по такой задаче.
Есть Keenetic KN-1010, настроена "обычная" wi-fi сеть 192.168.0.0. Создал гостевую на 10.1.30.0. Далее хочу с устройства первой сети получить доступ ко подключенному к гостевой. Естественно, просто так "чужая" сеть даже не пингуется. Настройка "Изоляция клиентов" отключена.
Возможно ли это и как настроить? Ранее всё необходимое удавалось настроить по хелпам Кинетика, но именно этот нюанс нигде не описан.

Так как это в терминах кинетика настройка out правил, то настройка через cli

https://help.keenetic.com/hc/ru/articles/360001434079

Нужно создать acl с разрешающим правилом для ip из домашней сети к ip устройства в гостевой. Далее привязать этот acl к интерфейсу гостевой указав направление out

[Satori]

On 11/7/2019 at 9:06 PM, r13 said:

Так как это в терминах кинетика настройка out правил, то настройка через cli

https://help.keenetic.com/hc/ru/articles/360001434079

Нужно создать acl с разрешающим правилом для ip из домашней сети к ip устройства в гостевой. Далее привязать этот acl к интерфейсу гостевой указав направление out

Не сработало. Сделал так:

access-list MyList1
permit icmp 192.168.0.143/32 10.1.30.39/32
permit icmp 10.1.30.39/32 192.168.0.143/32
exit
interface GuestWiFi
ip access-group MyList1 out
exit

Предварительно в настройках гостевой сети отключил галочку изоляции.
192.168.0.143 это ПК основной сети, 10.1.30.39 устройство гостевой. Пинги с админки из раздела диагностики Кинетика идут, с ПК нет.

Вообще командная строка для меня крайне неудобный инструмент. Вот создал список MyList1, в админке нигде ничего не появилось, удалить теперь не могу, в указанной статье про удаление именно списка не указано. Веб-интерфейс был бы на порядок удобнее.

[r13]

25 минут назад, Satori сказал:

Не сработало. Сделал так:

access-list MyList1
permit icmp 192.168.0.143/32 10.1.30.39/32
permit icmp 10.1.30.39/32 192.168.0.143/32
exit
interface GuestWiFi
ip access-group MyList1 out
exit

Предварительно в настройках гостевой сети отключил галочку изоляции.
192.168.0.143 это ПК основной сети, 10.1.30.39 устройство гостевой. Пинги с админки из раздела диагностики Кинетика идут, с ПК нет.

Вообще командная строка для меня крайне неудобный инструмент. Вот создал список MyList1, в админке нигде ничего не появилось, удалить теперь не могу, в указанной статье про удаление именно списка не указано. Веб-интерфейс был бы на порядок удобнее.

по удалению:  подавляющее большинство команд дополняется префиксом "no"

По задаче: интерфейс GuestWiFi инкапсулирован в интерфейсе Guest(Bridge1)  так что надо ввести

interface Guest
ip access-group MyList1 out
exit
system configuration save

По поводу настройки через web, голосовалка тут:

 

Edited November 9, 2019 by r13

[Satori]

22 minutes ago, r13 said:

по удалению:  подавляющее большинство команд дополняется префиксом "no"

Получилось, спасибо. Создавал для теста такое же задания с "in", удалил лишнее.

23 minutes ago, r13 said:

По задаче: интерфейс GuestWiFi инкапсулирован в интерфейсе Guest(Bridge1)  так что надо ввести

Всё взаимодействие с командной строкой выглядит так, верно?

(config)> access-list MyList1
Network::Acl: "MyList1" access list created.
(config-acl)> permit icmp 192.168.0.143/32 10.1.30.39/32
Network::Acl: Rule accepted.
(config-acl)> permit icmp 10.1.30.39/32 192.168.0.143/32
Network::Acl: Rule accepted.
(config-acl)> exit
Core::Configurator: Done.
(config)> interface Guest
Core::Configurator: Done.
(config-if)> ip access-group MyList1 out
Network::Acl: Output "MyList1" access list added to "Guest".
(config-if)> exit
Core::Configurator: Done.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...
(config)>

Но по-прежнему пинг не проходит :(

[r13]

5 минут назад, Satori сказал:

Получилось, спасибо. Создавал для теста такое же задания с "in", удалил лишнее.

Всё взаимодействие с командной строкой выглядит так, верно?

(config)> access-list MyList1
Network::Acl: "MyList1" access list created.
(config-acl)> permit icmp 192.168.0.143/32 10.1.30.39/32
Network::Acl: Rule accepted.
(config-acl)> permit icmp 10.1.30.39/32 192.168.0.143/32
Network::Acl: Rule accepted.
(config-acl)> exit
Core::Configurator: Done.
(config)> interface Guest
Core::Configurator: Done.
(config-if)> ip access-group MyList1 out
Network::Acl: Output "MyList1" access list added to "Guest".
(config-if)> exit
Core::Configurator: Done.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...
(config)>

Но по-прежнему пинг не проходит

Сча гляну, есть еще мысля про нат...

[r13]

Да, нат кинетика благополучно отрабатывает, и ваши пинги прилетают с source ip 10.1.30.1 со всеми вытекающими

Можно посмотреть в сторону выборочного нат`а

Поищу тему подходящую.

[r13]

Вот Оно

Нужно выключить тотальный нат для Home интерфейса, и настроить нат для соединений из Home в интерфейс(ы) с вашим(и) Интернетом

Сейчас это и в вебе настраивается:

Отключение на вкладке Домашняя сеть

Скрытый текст

Включение выборочного в переадресации

Скрытый текст

Ну а принцип работы в указанной теме раскрыт

 

Edited November 9, 2019 by r13

[cool]

Satori, у меня настроен фаерволл в веб-интерфейсе так:

домашний сегмент:

гостевой сегмент:

Все устройства видят друг друга и пингуются. NAT для Home интерфейса не отключал.

Edited November 9, 2019 by cool

[Sergey Zozulya]

Есть еще такая тема:

но никто не ответил.

Поддержка пояснила, что некоторые устройства используют для обнаружения мультикаст, который через NAT между сегментами не проходит.

[Satori]

13 hours ago, cool said:

Satori, у меня настроен фаерволл в веб-интерфейсе так:

Настроил так же, с тем отличием что у меня вторая сеть это дефолтная "Гостевая", вручную новую не создавал. Всё равно не работает.
Отключать NAT пожалуй не рискну, слишком неочевидно. Потом отвалится неизвестно что неизвестно когда и даже не пойму причину. У меня 2 проводных интернета и 1 USB модем, для разных устройств задан разный приоритет использования основного/резервного, есть ещё один подключенный Keenetic в режиме точки доступа для расширения покрытия. Достаточно мест где что-то может пойти не так. Видимо единственный вариант отказаться от использования отдельных сегментов. Хотя очень не хотелось пускать в основную сеть "ненадежные" устройства.

[Satori]

2 hours ago, Satori said:

Видимо единственный вариант отказаться от использования отдельных сегментов. Хотя очень не хотелось пускать в основную сеть "ненадежные" устройства.

Была идея использовать межсетевой экран для ограничения доступа между локальными устройствами. Но нет, та же проблема, они работают после NAT (о чем пишется в хелпе). В итоге все локальные устройства имеют доступ друг к другу и самая тонкая настройка которая есть - полностью запретить доступ определенному локальному ip по выбранному протоколу.

[Satori]

UPD: удалось получить доступ с устройства wi-fi основной сети в гостевую, настройки как на скрине у cool.
Не работают только подключенные кабелем. Неудобно, но хотя бы так.