Всем привет.
Простите за глупый вопрос, но нужна ваша помощь.
Имеется 2 роутера:
(1) Zyxel Keenetic и (2) Asus WL500GP
Lan на (1): 192.168.1.0
Lan на (2): 192.168.2.0
(1) - основной. к Wan-порту подходит интернет от провайдера.
(2) подключен к Lan порту (1) своим Wan портом. Адрес роутера Asus в сети (1) 192.168.1.10
На (1) прописан маршрут до (2):
192.168.2.0 255.255.255.0 192.168.1.10
Конфигурация на (2):
robocfg show
ifconfig -aPHP Code:
vlan0: 1 2 3 4 5t
vlan1: 0 5t
Таблица маршрутов на (2)PHP Code:
br0 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:388 errors:0 dropped:0 overruns:0 frame:0
TX packets:863 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:69413 (67.7 KiB) TX bytes:367741 (359.1 KiB)
...
vlan1 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:975 errors:0 dropped:0 overruns:0 frame:0
TX packets:1136 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:203394 (198.6 KiB) TX bytes:359663 (351.2 KiB)
Проблема: пользователи сети 192.168.2.0 (на роутере (2)) не видят локальной сети 192.168.1.0. Про этом интернет у пользователей этой сети есть. Пользователи 192.168.1.0 видят локальную сеть 192.168.2.0.PHP Code:
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1
Вопрос: Что я сделал не так? Нужно добиться, чтобы 192.168.1.0 была видна пользователям Asus (2).
Помогите, пожалуйста, разобраться! Желательно, подробнее (для новичка).
В режим AP ASUS переводить не хочу, так как в том-то и суть, что подсети должно быть 2.
Можно оставить разбиение на подсети, но при этом, чтобы в сети 192.168.2.0 был и интернет, и доступ в сеть 192.168.1.0?
Last edited by ccreep; 23-01-2012 at 11:09. Reason: Вариант перевода Asus в режим AP не подходит. Необходимо оставить разбиение на подсети.
А в iptables что?
В Вашей конфигурации по идее должно быть во всех таблицах ACCEPT (и никакого НАТа)
хотя по симптомам не укладывается, Вы точно ничего не перепутали в описании?
PS конфигурацию свича не проверял. надеюсь там все ОК...
В описании не перепутал.
NAT отключил через веб-интерфейс.
Данные из filter_rules:
Помогите, пожалуйста, правильно исправить фильтрацию (если я правильно понял, что править нужно именно в этом файле).PHP Code:
filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A SECURITY -p tcp --syn -m limit --limit 1/s -j RETURN
-A SECURITY -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETUR
-A SECURITY -p udp -m limit --limit 5/s -j RETURN
-A SECURITY -p icmp -m limit --limit 5/s -j RETURN
-A SECURITY -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p igmp -d 224.0.0.0/4 -j ACCEPT
-A INPUT -p udp -d 224.0.0.0/4 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p udp -d 224.0.0.0/4 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -o vlan1 ! -i br0 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequen
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence -
-A logdrop -j DROP
COMMIT
Last edited by ccreep; 24-01-2012 at 20:35.
Это же правила с Асуса (2)?
Не понимаю я почему у вас в описании значится
192.168.2.0 (на роутере (2)) не видят локальной сети 192.168.1.0.
Судя по правилам должно быть наоборот, так как нет разрешающего входного\транспортного правила из vlan1 в br0, зато есть запрещающее.
Поскольку Асус во внутренней сети и если защита от DDOS не важна, можно вообще все эти правила поудалять.
Покрайней мере можете в качестве теста выполнить
iptables -F
эта команда удалит вообще все правила, т.е. все будет разрешено.
Если поможет, можно уже в рабочем режиме продумать правила файрволла.
Еще можно посмотреть на счетчики правил, создавая трафик в сторону, где он отрубается.
iptables -L --line-numbers -v
и заметить на каких запрещающих правилах активно растут счетчики.
Однако если у вас действительно (1) видят (2) может быть что то все таки неправильно с конфигурацией свича? У вас Асус wl500GP первой ревизии? Для v2 по идее должно быть "0 1 2 3 5t" и "4 5t".
Или с мостом? В br0 должна добавляться vlan0. vlan1 сама по себе.
- У меня WL500GPV1
- В данный момент у меня клиенты и одной и другой сети не видят друг друга, но интернет есть везде. Таблица немного другая (не та, что внизу)
- Сейчас на работе, как приеду домой - попробую iptables -F
и со счетчиками.
Спасибо!
Не помогло... То есть, убрал все записи из IPTables, но все равно нет доступа
Поле очистки таблиц IP я начинаю пинговать сеть 192.168.2.0 из 192.168.1.0
Наоборот - все также, глухо
Таблица маршрутов с Asus'а:
Вот результат ifconfig -a:PHP Code:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1
результат robocfg show:PHP Code:
br0 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:320 errors:0 dropped:0 overruns:0 frame:0
TX packets:440 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:18343 (17.9 KiB) TX bytes:101403 (99.0 KiB)
eth0 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:438 errors:0 dropped:0 overruns:0 frame:0
TX packets:623 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:34246 (33.4 KiB) TX bytes:115565 (112.8 KiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:648
TX packets:0 errors:83 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:12 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:264 errors:0 dropped:0 overruns:0 frame:0
TX packets:264 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:22396 (21.8 KiB) TX bytes:22396 (21.8 KiB)
sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
vlan0 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:319 errors:0 dropped:0 overruns:0 frame:0
TX packets:556 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:19561 (19.1 KiB) TX bytes:110615 (108.0 KiB)
vlan1 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:119 errors:0 dropped:0 overruns:0 frame:0
TX packets:64 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6801 (6.6 KiB) TX bytes:4732 (4.6 KiB)
PHP Code:
Switch: enabled
Port 0: 100FD enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
Port 1: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 2: DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 3: DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 4: DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 5: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
VLANs: BCM5325/535x enabled mac_check mac_hash
0: vlan0: 1 2 3 4 5t
1: vlan1: 0 5t
2: vlan2:
3: vlan3:
4: vlan4:
5: vlan5:
6: vlan6:
7: vlan7:
8: vlan8:
9: vlan9:
10: vlan10:
11: vlan11:
12: vlan12:
13: vlan13:
14: vlan14:
15: vlan15:
Last edited by ccreep; 25-01-2012 at 20:08.
>>Поле очистки таблиц IP я начинаю пинговать сеть 192.168.2.0 из 192.168.1.0
Ну хоть какой то прогресс.
Таблицы вы только на Асусе очистили, так? (Надо только на асусе).
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
удалить
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
удалить или проставить корректный шлюз (192.168.1.1)
В выходные предстоит настраивать подобное! Переехал в соседний дом на улице, сегодня купил второй n16! Обе квартиры подключены к qwerty. Надо объедеить обе квартиры в единую сеть! Тк в первой квартире стоит медиа сервер,и ресурсами хочется пользоваться в обоих домах)! Без VPN получится интересно реализовать????
- Да, таблицы очистил только на Асусе. На Zyxel ничего не трогаю.
Поправил таблицу маршрутизации. Частично помогло.
Таблица теперь такая:
Теперь с Asus нормально и стабильно пингуется 192.168.1.0PHP Code:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1
Но вот наоборот - проблема.
То есть, пользователи 192.168.1.0 не могут пинговать 192.168.2.0
При этом не пингуется и сам vlan1 (192.168.1.10)
Если я в табличку добавляю маршрут до 192.168.1.0 через gw 192.168.1.10, то пользователи 192.168.1.0 начинают пинговать 192.168.2.0, но пропадает пинг в обратную сторону
Спасибо за помощь, прогресс уже есть!
Без VPN врядли.
У меня это сделано, но по другому, не так как здесь обычно описывается.
У меня несколько роутеров в одной подсети, а на "главном", к которому все подключаются по VPN, просто режется DHCP трафик.
надо вернуть
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
маршрут к дефолтному шлюзу конечно же должен быть указан.
т.е. в моем сообщении №244202 нужно выполнить только вторую инструкцию:
Last edited by Omega; 27-01-2012 at 16:52. Reason: fixed
Продолжаю бороться...
Вернул маршрут выше.
Таблица маршрутов стала такой:
Теперь ситуация такая:PHP Code:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1
192.168.1.0 стабильно пингуется из 192.168.2.0.
А вот 192.168.2.0 не пингуется из 192.168.1.0.
Но иногда пинг проходит:
vlan1 интерфейс (192.168.1.10) не пингуется из 192.168.1.0PHP Code:
Обмен пакетами с 192.168.2.15 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.2.15: число байт=32 время=1мс TTL=62
Превышен интервал ожидания для запроса.
Но br0 (192.168.2.1) нормально пингуется из 192.168.1.0
Если добавить: route add 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.10 dev vlan1, то:
192.168.1.0 пингуют 192.168.2.0
192.168.2.0 НЕ пингуют 192.168.1.0
Я уже не знаю, что и делать со всем этим...
Может нужно метрики прописать?
Есть еще идеи?
Last edited by Omega; 27-01-2012 at 17:05. Reason: н-да, как всё запущено ... :) отключаем DHCP в локалке и втыкаем патчкорд LAN в LAN ... ;)
DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163
Last edited by TReX; 27-01-2012 at 17:17.