А, понял. Гляну чуть попозже
меня тоже тегните, пожалуйста
D.O.S./S.O.D.
Александр
хотя вполне логичная, и по идее проблем не вызовет
Она сложная для восприятия, но ничего страшного.
Из подводных камней, сложно будет ограничить клиентов выходить в интернет с привязкой по мак-адресу.
D.O.S./S.O.D.
D.O.S./S.O.D.
deny any any
D.O.S./S.O.D.
и все)
Александр
ацл?
Проблема в том, что при переходе в другую подсеть мак-адрес источника подменяется мак-адресом маршрутизатора.
D.O.S./S.O.D.
Проблема в том, что при переходе в другую подсеть мак-адрес источника подменяется мак-адресом маршрутизатора.
верно, но можно закрыть сам доступ на входящий порт для данных индивидов
D.O.S./S.O.D.
чтобы они на юсг вообще зайти не могли
Александр
верно, но можно закрыть сам доступ на входящий порт для данных индивидов
В моём случае это критично, не всякий L3 умеет делать привязку ip-mac в ACL.
D.O.S./S.O.D.
В моём случае это критично, не всякий L3 умеет делать привязку ip-mac в ACL.
можно модели которые умеют?
Александр
можно модели которые умеют?
Я сам пока не в курсе. C Zyxel L3 не работал.
Ограничения были у другого вендора.
D.O.S./S.O.D.
В моём случае это критично, не всякий L3 умеет делать привязку ip-mac в ACL.
@Nervwa можете подсказать?
Александр
deny any any
В итоге не получалось конкретно одному IP с конкретным мак-адресом разрешить выход до USG.
D.O.S./S.O.D.
В итоге не получалось конкретно одному IP с конкретным мак-адресом разрешить выход до USG.
так ацл должен стоять выше в очереди, может это мешало, привязка айпи и доступ к юсг на любой трафик
permit any any
Александр
так ацл должен стоять выше в очереди, может это мешало, привязка айпи и доступ к юсг на любой трафик
permit any any
А как сделать, чтобы другие мак-адреса не могли использовать один и тот же IP?
D.O.S./S.O.D.
или permit ip устройства any ip usg
D.O.S./S.O.D.
А как сделать, чтобы другие мак-адреса не могли использовать один и тот же IP?
зарезервировать со стороны дхцп
D.O.S./S.O.D.
Не поможет, Если сами статикой пропишут себе IP.
так в ацл мы сперва пишем самые заковыристые вариации
и после общие правила
кто додумается менять себе айпи с другого мака у него трафик не пойдёт, если на это коммутаторе нет этого влана
Александр
так в ацл мы сперва пишем самые заковыристые вариации
и после общие правила
кто додумается менять себе айпи с другого мака у него трафик не пойдёт, если на это коммутаторе нет этого влана
Некоторые L3 коммутаторы не разрешают повесить на один интерфейс правила с IP и с мак-адресом. Что-то одно вешается, IP или мак-адрес.
D.O.S./S.O.D.
если влан получен по gvrp то просто удалить данный влан и всё, кто себе даже статику пропишет - выстрелит себе в ногу, тк у него аксесс порт будет на другой влан ориентирован
D.O.S./S.O.D.
Некоторые L3 коммутаторы не разрешают повесить на один интерфейс правила с IP и с мак-адресом. Что-то одно вешается, IP или мак-адрес.
так я не совсем понимаю, зачем нам привязка со стороны ацл?
пусть дхцп ей займётся
нужный комп в отдельный влан(условно 666) и соответственно отдельный дхцп реле
и статикой бы сколько не пытался кто либо что либо устроить
у нас влан на 2 айпи адреса реле и пк
он в сеть основную зайти не сможет, тк на транке требуемого влана не будет
Александр
так я не совсем понимаю, зачем нам привязка со стороны ацл?
пусть дхцп ей займётся
нужный комп в отдельный влан(условно 666) и соответственно отдельный дхцп реле
и статикой бы сколько не пытался кто либо что либо устроить
у нас влан на 2 айпи адреса реле и пк
он в сеть основную зайти не сможет, тк на транке требуемого влана не будет
Например, в сети всем интернет запрещён (deny any any).
Но одному ПК нужно разрешить интернет (permit any any 192.168.1.2 без мак-адреса, тк не умеет). Потом эти все правила вешаются на интерфейс или влан коммутатора.
Как перестраховаться, что этот IP не поставят на другом ПК в этой же сети?
На USG функционал IP/MAC Binding такие самовольности дропал, а L3 пока такое не умеет.
Александр
Ну может есть крутые L3, которые могут сразу в одном ACL правиле прописать сразу IP и мак-адрес и на один интерфейс/влан установить.
Александр
так я не совсем понимаю, зачем нам привязка со стороны ацл?
пусть дхцп ей займётся
нужный комп в отдельный влан(условно 666) и соответственно отдельный дхцп реле
и статикой бы сколько не пытался кто либо что либо устроить
у нас влан на 2 айпи адреса реле и пк
он в сеть основную зайти не сможет, тк на транке требуемого влана не будет
Этот ПК часто переезжает и неудобно до него вланы пробрасывать каждый раз.
D.O.S./S.O.D.
Этот ПК часто переезжает и неудобно до него вланы пробрасывать каждый раз.
попробовать ограничить раздачу дхцп, но от статики не знаю как спастись
Александр
попробовать ограничить раздачу дхцп, но от статики не знаю как спастись
Это и является подводным камнем.
Dmitry
@Nervwa можете подсказать?
Парни я маркетолог, не подскажу. Всегда есть @NSanchez13, а если он не знает, то @Onatoli4.
D.O.S./S.O.D.
D.O.S./S.O.D.
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
Sergei
Добрый день!
Городская сеть построена на таких коммутаторах:
GS-3012F
GS-4012F
XGS-4728F
MES-3528
MES3500-24
MES3500-24F
GS2210-8
GS2210-48
ES-2108-G
ES-2024A
Можете, пожалуйста, поделиться последними прошивками для них?
Eugene
Добрый день. Посмотрите тут, что-то, может, найдете. Есть еще одна ссылка, чуть попозже скину
https://webservice.zyxel.com/end-of-life
Александр
Александр
Добрый день!
Городская сеть построена на таких коммутаторах:
GS-3012F
GS-4012F
XGS-4728F
MES-3528
MES3500-24
MES3500-24F
GS2210-8
GS2210-48
ES-2108-G
ES-2024A
Можете, пожалуйста, поделиться последними прошивками для них?
Остальное на http://download.from.zyxel.ru/download/
И https://www.zyxel.com/ru/ru/support/download
Catharos
Приветствую! Подскажите пожалуйста в таком вопросе. Имеется flex 200, провайдер по оптике предоставляет несколько ip адресов. Можно ли с помощью виртуальных wan выпускать разные машины в интернет под разными айпишниками, настраивать свои правила firewall, проброс портов?
Александр
Приветствую! Подскажите пожалуйста в таком вопросе. Имеется flex 200, провайдер по оптике предоставляет несколько ip адресов. Можно ли с помощью виртуальных wan выпускать разные машины в интернет под разными айпишниками, настраивать свои правила firewall, проброс портов?
Да, всё возможно.
Выход в интернет настраивается в "Маршрутизация".
А по виртуальным WAN нужно уточнить.
Они у вас в отдельных ВЛАНах, каждый со своим IP/маска или просто несколько IP в одной подсети?
Catharos
Да, всё возможно.
Выход в интернет настраивается в "Маршрутизация".
А по виртуальным WAN нужно уточнить.
Они у вас в отдельных ВЛАНах, каждый со своим IP/маска или просто несколько IP в одной подсети?
VLAN нет, но планируется и такое разделение. Сеть одна /24. По итогу задача раскидать сервера, обычные и специальные компы в разные VLAN и пускать с разных адресов со своими правилами
Александр
Александр
VLAN нет, но планируется и такое разделение. Сеть одна /24. По итогу задача раскидать сервера, обычные и специальные компы в разные VLAN и пускать с разных адресов со своими правилами
Александр
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
Eleyson
Друзья, как настроить IPsec VPN сеть-сеть на двух точках, на обоих точках по два провайдера(один резервный) чтобы автоматически переключался канал IPSec в случае обрыва одного из провайдера? Тыкнете в мануал, пожалуйста
Александр
Eleyson
https://support.zyxel.eu/hc/ru/articles/6324802893330
Спасибо!!! У меня настроено, только не переключается автоматически, приходится руками это делать. Сейчас по этому мануалу проверю
Александр
Спасибо!!! У меня настроено, только не переключается автоматически, приходится руками это делать. Сейчас по этому мануалу проверю
если что, обратитесь к @Onatoli4 .
Александр
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
Anthony
USG FLEX 50 (USG20-VPN) может являться контроллером точек доступа Wi-Fi ? Купили железку, обновили прошивку, не видим в меню "Конфигурация - Беспроводная сеть"
Denis
USG FLEX 50 (USG20-VPN) может являться контроллером точек доступа Wi-Fi ? Купили железку, обновили прошивку, не видим в меню "Конфигурация - Беспроводная сеть"
Нет, это младшая модель. Там нет функционала контроллера точек доступа.
Denis
100 модель и старше - там есть
Дмитрий
А через небулу нельзя?
Александр
А через небулу нельзя?
Что имеете в виду?
В Небуле шлюз и точки доступа настраиваются отдельными устройствами в пределах одной учётки.
Дмитрий
USG FLEX 50 (USG20-VPN) может являться контроллером точек доступа Wi-Fi ? Купили железку, обновили прошивку, не видим в меню "Конфигурация - Беспроводная сеть"
Ну ясли он добавить точки и роутер на 1 площадку то будет же роуминг у точек?
Дмитрий
Облачный контроллер по сути?
Дмитрий
Ну если точки поддерживают небулу конечно
Александр
Ну ясли он добавить точки и роутер на 1 площадку то будет же роуминг у точек?
Если один ССИД и устройства не капризные, то будет роуминг.
Дмитрий
Александр
Ну если точки поддерживают небулу конечно
обязательное условие, сторонние вендоры нежелательны, если переживаете за роуминг.
Дмитрий
А какие там сторонние вендоры, в небулу же
Только ваши точки можно добавить?
Дмитрий
Или я чего то незнаю:)
Александр
А какие там сторонние вендоры, в небулу же
Только ваши точки можно добавить?
ну например, под одним ССИД объединить Небульные ТД и других вендоров (TP-Link, Mirkotik) нежелательно. Телефоны могут отказываться подключаться к такому ССИД.
Дмитрий
Ааааа про это понял
cloud_tg_captcha_bot
User didn't pass the validation and was banned.
Vladimir
имею USG60W резервном стоит usb йота. как сделать, что бы модем не раздавал ip адреса в сеть при отключении, а комутатор это делал ?
Федор
А dhcp у вас где?
Vladimir
и должен ли он иметь такой ip как у сети ? сеть 192.1.1.. а модем 192.168.8.1
Александр
на комуторе и так же он включен на модеме, но он там не отключается.
у вас схема подключения какая?
USB-модем -> USG60W -> коммутатор -> клиент
так?
Vladimir
Vladimir
у вас схема подключения какая?
USB-модем -> USG60W -> коммутатор -> клиент
так?
Я дхр отрубил на модеме так он не подключается к сети
Александр
ДХСП на модеме нужен, чтобы к нему клиенты или USG60W могли подключаться.
Александр
имею USG60W резервном стоит usb йота. как сделать, что бы модем не раздавал ip адреса в сеть при отключении, а комутатор это делал ?
"при отключении"
Прошу уточнить. Что именно отключается?
Vladimir
"при отключении"
Прошу уточнить. Что именно отключается?
На usg 60 есть основной канал и есть резнрвный( модем)
Vladimir
Отключается основной
Александр
Отключается основной
Ваш вопрос:
"как сделать, что бы модем не раздавал ip адреса в сеть при отключении, а комутатор это делал ?"
То есть, при отключении основного канала - вам необходимо, чтобы модем не раздавал IP адреса? Правильно понимаю? Кажется нет. Пожалуйста, переформулируйте вопрос для большей ясности.
Можете отдельным сообщением написать, обсудим вашу задачу.
cloud_tg_captcha_bot
User passed the validation.