Jump to content
  • 0
dimka

беда с сегментами (маршрутизация между ними)

Question

Keenetic Giga III, прошивка 3.4.12

на нем:
основной (дефолтный) сегмент (Home VLAN)
wifi + провод
адресация 192.168.1.x
DHCP есть

сегмент LAN2
отдельная wifi точка доступа без доступа в интернет
адресация 192.168.2.x
DHCP есть

VPN-клиент1 к Giga III
реализован на базе Keenetic 4G,
при подключении самому кинетику 4G присваивается адрес 172.16.2.2
раздает локалку за собой с адресацией 192.168.10.x

VPN-клиент2 к Giga III
подключается напрямую, без промежуточных роутеров
получает адрес 172.16.2.3

Проблема - получить доступ между сегментами (VPN клиенты не видят сегмент LAN2, а должны)
из Home VLAN видны все - и VPN-клиенты Giga III и LAN2
из сети VPN-клиента1  (102.168.10.х) виден Home VLAN

no isolate private включен
сегменты Home VLAN и LAN2 имеют security-level private
в настройках VPN-сервера на Giga III пробовал присваивать VPN-клиентам адреса из Home VLAN (192.168.1.x), результата не дало.
в файрволле из Home VLAN доступ в другие подсети открыт

Согласно трассировке, рубит все Keenetic Giga III
 

firewall.jpg

Share this post


Link to post
Share on other sites

2 answers to this question

Recommended Posts

  • 0

Я так понимаю в настройках vpn сервера на GigaIII для впн-клиентов доступ к сети указан как раз Home? Я подобную задачу решал следующим образом: создаем правила в фаерволле разрешающие впн-клиентам доступ в подсеть 192.168.2.0/24 и навешиваем эти правила на сегмент LAN2 на out. Т.к. правила надо вешать на out, то делать это можно только через сli. Команды следующие: 

Создаем ACL

access-list myacl

Далее команды добавляют в созданный акл нужные правила, т.к. впн-клиенты  получают у вас 172.16.2.х, а в вашем новом сегменте адресация 192.168.2.0 /24 :

permit ip 172.16.2.0/24 192.168.2.0/24

 Далее команда exit - это мы выходим из подгруппы комманд access-list в основной конфиг. Теперь нам осталось привязать созданный ACL к нужному бриджу. Основной Home сегмент - это Bridge0, гостевой - Bridge1, допустим ваш сегмент LAN2 - это Bridge2.

interface bridge2 ip access-group myacl out

И сохраняем изменения: system configuration save

 

  • Upvote 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...