Verdoga
@Verdoga

Как получить доступ из одной подсети к узлу другой?

Доброго времени суток.

Прошу помощи в настройке роутера Zyxel Keenetic Giga III.

Имеются два порта LAN: 1 и 2
  • LAN 1 входит в подсеть 192.168.1.0/24 (Home)
  • LAN 2 входит в подсеть 11.11.0.0/23 (VNet)


В подсети 11.11.0.0/23 имеется хост со статическим IP, выдаваемым DHCP: 11.11.0.1
DHCP имеет пул адресов: 11.11.1.0-11.11.1.127

Имеются статические маршруты:
  1. 11.11.0.0/23; 0.0.0.0; VNet (создан автоматически роутером)
  2. 11.11.0.1/32; 0.0.0.0; VNet (создан мною)


Изоляция приватных интерфейсов отключена
Интерфейс VNet имеет приватный уровень безопасности
Интерфейс VLAN3 (привязывается к физическому LAN 2) тоже имеет приватный уровень безопасности

Хочу получить доступ с любого из адресов подсети 192.168.1.0/24 к адресам подсети 11.11.0.0/23, в частности к 11.11.0.1.
Доступ осуществляется по http.

Прассировка доходит до 11.11.0.0, этот шлюз и сообщает, что ресурс 11.11.0.1 не отвечает.
Пробовал переводить в домашний сегмент, всё работает как часы: всё открывается, пингуется и трассируется.

Конфигурация сетевых интерфейсов:
spoiler

interface GigabitEthernet0
up
!
interface GigabitEthernet0/0
rename 1
switchport mode access
switchport access vlan 1
up
!
interface GigabitEthernet0/1
rename 2
switchport mode access
switchport access vlan 3
up
!
interface GigabitEthernet0/2
rename 3
switchport mode access
switchport access vlan 1
up
!
interface GigabitEthernet0/3
rename 4
switchport mode access
switchport access vlan 1
up
!
interface GigabitEthernet0/Vlan1
description "Home VLAN"
security-level private
ip dhcp client dns-routes
ip dhcp client name-servers
up
!
interface GigabitEthernet0/Vlan2
security-level public
ip dhcp client dns-routes
ip dhcp client name-servers
up
!
interface GigabitEthernet0/Vlan3
security-level private
ip dhcp client dns-routes
ip dhcp client name-servers
up
!
interface GigabitEthernet1
rename ISP
description "\xd0\x97\xd0\xb5\xd0\xbb\xd1\x91\xd0\xbd\xd0\xb0\xd1\x8f \xd1\x82\xd0\xbe\xd1\x87\xd0\xba\xd0\xb0"
mac address factory wan
security-level public
ip address dhcp
ip dhcp client hostname Keenetic_Giga
ip dhcp client dns-routes
ip dhcp client name-servers
ip mtu 1500
ip global 700
igmp upstream
ipv6 address auto
ipv6 prefix auto
ipv6 name-servers auto
up
bandwidth-limit 54602
!
interface GigabitEthernet1/0
rename 0
ipv6 address auto
ipv6 prefix auto
ipv6 name-servers auto
up
!
interface WifiMaster0
country-code RU
compatibility N
channel width 40-below
channel auto-rescan 00:00 interval 1
power 10
tx-burst
rekey-interval 3600
up
!
interface WifiMaster0/AccessPoint0
rename AccessPoint
description "Wi-Fi access point"
mac access-list type none
security-level private
authentication wpa-psk ns3
encryption enable
encryption wpa2
ip dhcp client dns-routes
ip dhcp client name-servers
ssid zxhmnw
hide-ssid
wmm
up
!
interface WifiMaster0/AccessPoint1
rename GuestWiFi
description "Guest access point"
mac access-list type none
security-level private
ip dhcp client dns-routes
ip dhcp client name-servers
ssid Guest
wmm
down
!
interface WifiMaster0/AccessPoint2
mac access-list type none
security-level private
ip dhcp client dns-routes
ip dhcp client name-servers
down
!
interface WifiMaster0/AccessPoint3
mac access-list type none
security-level private
ip dhcp client dns-routes
ip dhcp client name-servers
down
!
interface WifiMaster0/WifiStation0
security-level public
encryption disable
ip dhcp client dns-routes
ip dhcp client name-servers
down
!
interface WifiMaster1
country-code RU
compatibility N+AC
channel width 40-above/80
channel auto-rescan 00:00 interval 1
power 25
tx-burst
rekey-interval 3600
band-steering
band-steering preference 5
up
!
interface WifiMaster1/AccessPoint0
rename AccessPoint_5G
description "5Ghz Wi-Fi access point"
mac access-list type none
security-level private
authentication wpa-psk ns3
encryption enable
encryption wpa2
ip dhcp client dns-routes
ip dhcp client name-servers
ssid zxhmnw
hide-ssid
wmm
up
!
interface WifiMaster1/AccessPoint1
mac access-list type none
security-level private
ip dhcp client dns-routes
ip dhcp client name-servers
down
!
interface WifiMaster1/AccessPoint2
mac access-list type none
security-level private
ip dhcp client dns-routes
ip dhcp client name-servers
down
!
interface WifiMaster1/AccessPoint3
mac access-list type none
security-level private
ip dhcp client dns-routes
ip dhcp client name-servers
down
!
interface WifiMaster1/WifiStation0
security-level public
encryption disable
ip dhcp client dns-routes
ip dhcp client name-servers
down
!
interface Bridge0
rename Home
description "Home network"
inherit GigabitEthernet0/Vlan1
include AccessPoint
include AccessPoint_5G
mac access-list type permit
mac access-list address fc:19:10:0f:5f:db
mac access-list address 00:7e:59:8e:2d:d3
mac access-list address 24:df:6a:4c:b7:e4
mac access-list address dc:85:de:00:b2:29
mac access-list address d4:25:8b:50:9e:ca
security-level private
ip address 192.168.1.1 255.255.255.0
ip dhcp client dns-routes
ip dhcp client name-servers
ip access-group _WEBADMIN_Home in
up
!
interface Bridge1
rename Guest
description "Guest network"
traffic-shape rate 5120
include GigabitEthernet0/Vlan2
include GuestWiFi
mac access-list type none
peer-isolation
security-level protected
ip address 10.1.30.1 255.255.255.0
ip dhcp client dns-routes
ip dhcp client name-servers
up
!
interface Bridge2
description VNet
include GigabitEthernet0/Vlan3
mac access-list type none
security-level private
ip address 11.11.0.0 255.255.254.0
ip dhcp client dns-routes
ip dhcp client name-servers
ip access-group _WEBADMIN_Bridge2 in
up
!
ip route 11.11.0.1 11.11.0.0 Bridge2
ip dhcp pool _WEBADMIN_BRIDGE2
range 11.11.1.0 11.11.1.127
lease 25200
bind Bridge2
enable
!
ip dhcp host 2c:4d:54:d7:ad:f5 11.11.0.1
ip host server.vm 11.11.0.1
!


Разъясните, что я сделал не так?

Вообще, хотелось бы настроить всё так, чтобы isolate-private был включён, а доступ осуществлялся только к нужным адресам из нужных сегментов и по разрешённым протоколам.
Буду очень признателен, если расскажете как такую настройку сделать по-человечески.

Спасибо за помощь.
  • Вопрос задан
  • 1837 просмотров
Решения вопроса 1
@DDwrt100
Имеются статические маршруты:

    11.11.0.0/23; 0.0.0.0; VNet (создан автоматически роутером)
    11.11.0.1/32; 0.0.0.0; VNet (создан мною)


Второй маршрут бессмысленный.
В такой записи достаточно 1 который создан роутером.

Надо смотреть acess lists на маршрутизаторе.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@iontzev
Telecommunications engineer
Вам надо добавить в access-list _WEBADMIN_Home правило, разрешающее трафик на хост 11.11.0.11 по портам 80 и 443
почитайте
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы