Konstantin
Александр
нет связности у ВМ с сетью, где находится интерфейс Zyxel с DHCP сервером.
Konstantin
Почему же нет. На картинке видно, что получен ip 192.168.7.10
Konstantin
Но машины не получили почему-то
Konstantin
Может есть какие то настройки, в zyxel для раздачи нескольких ip по одному подключению
Александр
Но машины не получили почему-то
проставьте им статические незанятые 192.168.7.x (маска должна быть такой же как у 192.168.7.10) и пропингуйте 192.168.7.10.
И с самого 192.168.7.10 пропингуйте ВМ.
Александр
всем привет. вопрос на засыпку, почему (в моем случаем АТР 200) распознает IP адреса из Симферополя как Украинские? в результате они получают Rejekt так как из за известных атак включена GeoIP для коннектов по VPN только с российских IP
https://support.zyxel.eu/hc/ru/articles/4410020283794
случайно встретилась
Artur
Доброе утро
Artur
Александр
Artur
Artur
Александр
Artur
Я не понял механизм.
ZyWALL - это сам роутер. Обведённым правилом вы разрешаете группе "remote-acce.." подключаться к роутеру (которым является ZyWALL) по сервису (протоколу) "WAN_access..." и по SSH_New в правиле №8, которое ниже находится.
да, почему внешний ip роутера доступен ? хотя указано явное правило которое обведено что на него можно подключатся только с группы которая указана
Artur
Блин фигня какае то
Artur
на usg60 так же все сделано и он дропает подключение а на атп 200 нет
Artur
в чем подвох то ?
Александр
да, почему внешний ip роутера доступен ? хотя указано явное правило которое обведено что на него можно подключатся только с группы которая указана
кому доступен? даже тем, кто не входит в профиль remote-acces... ?
Artur
да, я сейчас убрал ip роутера, собсвтенно его внешний ip, и он не должен с него пускать, только через локалку.
Artur
но он пускает
Artur
на usg 60 именно так и работает
Александр
Я не могу понять как это.
Повторюсь, как уберёте IP роутера, если ZyWALL - это сам роутер?
Artur
то есть он в любом слачи будет пускать по внешки ?
Artur
в ообщем чего я хочу добится, хочу что бы был доступ только из группы, которую я создал, и что бы в роутер по внешке было нельзя зайти если этого ip нет в группе
Artur
сейчас он пускает, то есть я сижу в офисе, роутер раздает мне инет, и я могу зайти по его внешке.
Александр
Вы неправильно понимаете механизм.
Александр
сейчас он пускает, то есть я сижу в офисе, роутер раздает мне инет, и я могу зайти по его внешке.
из офиса вы на него заходите без проблем, т.к. вы в зоне LAN1.
А из внешки (WAN) смогут зайти только с тех IP, кто внесён в профиль remote-acce...
Александр
логи посмотрите и увидите кто как и откуда заходит на веб-интерфейс.
Александр
с мобильника зайдите на веб-интерфейс и в логах посмотрите как это пишет.
Artur
с мобильника зайдите на веб-интерфейс и в логах посмотрите как это пишет.
теперь понял логику Зюкселя, dfl работает в этом плане иначе )) ты и из зоны lan по внешке не зайдешь, если не указан данный ip, только по локальной сети зайдешь.
Artur
у зюкселя иначею. спасибо
Александр
сейчас он пускает, то есть я сижу в офисе, роутер раздает мне инет, и я могу зайти по его внешке.
из офиса на веб проходите благодаря правилу №1.
Artur
из офиса на веб проходите благодаря правилу №1.
это я как раз токи открыл доступ по внутренему, но я же будучи во внутерней сети поподают по внешке на него )
Александр
это я как раз токи открыл доступ по внутренему, но я же будучи во внутерней сети поподают по внешке на него )
Уточняю. Может я неправильно вас понимаю. Что такое внешка? Это внешний IP ZyWALL?
Александр
ну при обращении на внешний IP из LAN1, внешний IP подменяется на внутренний IP, т.к. оба адреса принадлежат одному устройству.
Artur
спасибо
Sergey
Добрый день!
Буду очень благодарен за совет, куда копать.
Необходимо через точку WAC500H пропустить через LAN порты мультикаст. В LAN порт подключается приставка IP TV.
Порты на точке WAC500H Uplink и LAN2 настроены на VLAN, где ходит мультикаст. На комутаторах включен IGMP snooping v2.
Топология следующая: IPTV SRV --> XS3800 --> XGS1930HP-WAC500H-->IPTV client. Все находится в одном VLAN.
Если подключить к порту LAN2 ноктбук, то получаем IP с DHCP сервера IPTV SRV и видим поток VLC плеером.
Если подключить к порту LAN2 приставку IPTV client, то она не получает IP адрес. По всей видимости с приставки идет широковещательный запрос и должен происходить поиск IPTV SRV.
Есть предположение, что он где-то режется.
Если из этой цепочки исключить WAC500H все работает исправно.
Если из этой цепочки исключить XGS1930HP и включить WAC500H все работает исправно.
т.е. не работает в том случае, если в цепочке имеется связка XGS1930HP-WAC500H. По отдельности все работает.
Прошивки везде последней версии. Очень не хочется ковыряться в дампе.
Konstantin
Konstantin
Инет не появился на вм
Александр
Прописал ip. статистику на вм.. далее пинг проходит до 192.168.7.10
также через браузер спокойно заходит на сам сервер esxi с виртуалки,
но на Zyxel не пропускает 192.168.7.1
Запустите пинг с ВМ до Zyxel. Наберите в консоли Zyxel такую команду show arp-table
Там есть мак-адреса ВМ ?
Александр
Прописал ip. статистику на вм.. далее пинг проходит до 192.168.7.10
также через браузер спокойно заходит на сам сервер esxi с виртуалки,
но на Zyxel не пропускает 192.168.7.1
на ВМ наберите команду arp -a
там есть мак-адрес Zyxel ?
Sergey
XGS1930HP-WAC500H
на порте коммутатора PVID и untagged влан сходятся с ВЛАНами на точке доступа?
В коммутаторе порт тегированный, в точке тоже, выход из точки антагет. Поток на vlc идет, пинг с порта антагет точки до видео сервера проходит
Александр
В коммутаторе порт тегированный, в точке тоже, выход из точки антагет. Поток на vlc идет, пинг с порта антагет точки до видео сервера проходит
а если отказаться от тегированных трафиков и всё свести к нетегированному трафику в связке XGS1930HP-WAC500H ?
Александр
мне кажется, там с PVID сложности.
Sergey
Попробую. Но если исключить из цепи 1930 hp, то с тегированными вланами все заводится. И ip адрес пк то получает с порта антагет точки доступа.
Александр
В коммутаторе порт тегированный, в точке тоже, выход из точки антагет. Поток на vlc идет, пинг с порта антагет точки до видео сервера проходит
дело в том, что если в SSID стоит недефолтный ID (2 и более), то ему на LAN порт точки доступа нужно подавать только тегированный трафик. Ну по крайней мере у меня так было на ТД под управлением контроллера.
Sergey
дело в том, что если в SSID стоит недефолтный ID (2 и более), то ему на LAN порт точки доступа нужно подавать только тегированный трафик. Ну по крайней мере у меня так было на ТД под управлением контроллера.
Так и есть. 1 влан на управление, и 2 для разных ssid. 4й сделан для мультикаста
Александр
Так и есть. 1 влан на управление, и 2 для разных ssid. 4й сделан для мультикаста
У мультикаста какой PVID? На XGS1930HP какой PVID стоит для ТД ?
Sergey
123
Sergey
И там и там
Sergey
Xgs1930 - 123(t) -->wac500h- 123(t) -->123(u)
Александр
Xgs1930 - 123(t) -->wac500h- 123(t) -->123(u)
Во вкладке, где PVID настраивается, там 123 стоит? Это будет нетегированный трафик
Александр
Xgs1930 - 123(t) -->wac500h- 123(t) -->123(u)
Sergey
Это же native,если 123 с тегом, то на результат это никак не влияет. Если в точке uplink 123(t).в данный момент стоит, то порт tagget
Александр
Это же native,если 123 с тегом, то на результат это никак не влияет. Если в точке uplink 123(t).в данный момент стоит, то порт tagget
я для чистоты эксперимента мультикастный 123 влан предлагаю вывести полностью в нетегированный трафик.
Sergey
Попробуем. Точки очень неохотно меняют конфигурацию uplink порта, через контроллер.
Александр
Попробуем. Точки очень неохотно меняют конфигурацию uplink порта, через контроллер.
я думал, у вас она автономная.
Sergey
Flex 700
Sergey
Интересно, что связка dlink, gs2220, wac500h, работает нормально...
Александр
Flex 700
понял, к сожалению, если использовать несколько ССИД, то весь трафик от них становится тегированным. Перевести какой-нибудь один ССИД в нетегированный трафик пока не нашёл как.
Sergey
Главное чтобы проходной порт заработал, с ССИД потом можно разобраться
Александр
Главное чтобы проходной порт заработал, с ССИД потом можно разобраться
Для чистоты эксперимента я на вашем месте точку перевёл бы в автономный режим, оставить только один ССИД для мультикаста, чтобы LAN порт точки доступа и ССИД были в одном нетегированном ВЛАНе (дефаулт 1) и а порт коммутатора тоже перевести в нетегированный 123 в двух вкладках. в PVID и там, где fixed untagged проставляется.
Sergey
Попробуем на новой точке, отпишусь
Александр
Главное чтобы проходной порт заработал, с ССИД потом можно разобраться
настроил бы как 1 порт на скриншоте. Fixed без TX TAgging
Александр
Александр
а там после уже будем разбираться, кто режет в связке XGS1930HP-WAC500H
Александр
Прописал ip. статистику на вм.. далее пинг проходит до 192.168.7.10
также через браузер спокойно заходит на сам сервер esxi с виртуалки,
но на Zyxel не пропускает 192.168.7.1
у вас пул свободных динамических адресов точно не исчерпан? Запрещающие правила файрволла от LAN до ZyWALL есть?
IP/MAC binding (Привязка IP/MAC) активен?
L2 изоляция включена?
Проверьте эти все пункты.
Konstantin
Sergey
Александр
Sergey
На коммутаторе настроен антагет 123 и PVID 123
Sergey
лучше вообще ничего на ней не настраивать. Везде оставить 1
Одинаковый результат. Что с настроенными виланами на портах не тегированными, что с дефолтными настройками, где vlan1
Александр
Одинаковый результат. Что с настроенными виланами на портах не тегированными, что с дефолтными настройками, где vlan1
всё равно приставка не находит ?
Sergey
всё равно приставка не находит ?
Неа. Если ноутбук воткнуть, то все нормально. IP выдет , поток идет.
Александр
в техподдержку напишите
https://support.zyxel.eu/hc/ru