Помогите разобраться в конфиге AR-450S....

Здесь обсуждаются вопросы связанные с маршрутизаторами, сетевыми экранами, VPN

Модератор: Allied Telesis Russia

Помогите разобраться в конфиге AR-450S....

Сообщение Del34 » 21 июн 2017, 13:31

Доброго всем, подскажите, пожалуйста, досталась в наследство сетка с маршрутизатором AR-450S, через него настроен выход в интернет напрямую, в смысле есть еще прокся. Так вот из сетки 192.168.252.0 (vlan252)все ходят нормально со шлюзом 192.168.252.254 (он же раздает DNS).
Теперь понадобилось настроить выход в интернет для хоста 192.168.0.29 (vlan1159), не получается. Толи дело в фильтрах, толи в маршрутах, помогите.

Нужен выход для 192.168.0.29, прописываю ему шлюз 192.168.0.33
на маршрутизаторе добавляю правило add ip fil=59 so=192.168.0.29 ent =1 des=192.168.0.33 ac=include
Не работает, что не так поправьте, с телесинами только начал знакомиться

Конфига вот:

Код: Выделить всё
# SWITCH (pre-VLAN) configuration
set switch ageingtimer=3600
set switch qos=3,0,1,2,3,3,3,3
set switch port=1 bclimit=128 mclimit=128 dlflimit=128
set switch port=1 infiltering=on
set switch port=2 bclimit=128 mclimit=128 dlflimit=128
set switch port=2 infiltering=on
set switch port=3 bclimit=128 mclimit=128 dlflimit=128
set switch port=3 infiltering=on
set switch port=4 bclimit=128 mclimit=128 dlflimit=128
set switch port=4 infiltering=on
set switch port=5 bclimit=128 mclimit=128 dlflimit=128
set switch port=5 infiltering=on

# VLAN general configuration
create vlan="inet252" vid=252
create vlan="inet978" vid=978
create vlan="net1159" vid=1159

# VLAN port configuration
add vlan="252" port=1-2
add vlan="978" port=3-4
add vlan="1159" port=5
add vlan="252" port=5 frame=tagged

# IP configuration
enable ip
ena ip dnsrelay
enable ip arp agepoll
add ip fil=52 so=0.0.0.0 ent=1 ac=exclude prot=tcp dp=135:139
add ip fil=52 so=0.0.0.0 ent=2 ac=exclude prot=tcp dp=445
add ip fil=52 so=0.0.0.0 ent=3 ac=exclude prot=udp dp=135:139
add ip fil=52 so=0.0.0.0 ent=4 ac=exclude prot=udp dp=445
add ip fil=52 so=192.168.252.0 ent=5 sm=255.255.255.0 des=192.168.252.254 ac=include
add ip fil=52 so=0.0.0.0 ent=6 des=192.168.0.0 dm=255.255.0.0 ac=exclude
add ip fil=52 so=0.0.0.0 ent=7 des=169.254.0.0 dm=255.255.0.0 ac=exclude
add ip fil=52 so=0.0.0.0 ent=8 des=172.16.0.0 dm=255.240.0.0 ac=exclude
add ip fil=52 so=0.0.0.0 ent=9 des=127.0.0.0 dm=255.0.0.0 ac=exclude
add ip fil=52 so=0.0.0.0 ent=10 des=10.0.0.0 dm=255.0.0.0 ac=exclude
add ip fil=52 so=0.0.0.0 ent=11 des=224.0.0.0 dm=240.0.0.0 ac=exclude
add ip fil=52 so=192.168.252.0 ent=12 sm=255.255.255.0 ac=include

add ip fil=59 so=192.168.0.0 ent=2 sm=255.255.255.0 ac=include prot=udp dp=520
add ip fil=59 so=0.0.0.0 ent=3 des=192.168.0.33 ac=exclude prot=tcp dp=telnet
add ip fil=59 so=192.168.0.0 ent=4 sm=255.255.0.0 des=192.168.0.33 ac=include
add ip fil=59 so=172.17.0.0 ent=5 sm=255.255.0.0 des=192.168.0.33 ac=include

add ip fil=78 so=0.0.0.0 ent=1 ac=exclude prot=tcp dp=135:139
add ip fil=78 so=0.0.0.0 ent=2 ac=exclude prot=tcp dp=445
add ip fil=78 so=0.0.0.0 ent=3 ac=exclude prot=udp dp=135:139
add ip fil=78 so=0.0.0.0 ent=4 ac=exclude prot=udp dp=445
add ip fil=78 so=192.168.0.0 ent=5 sm=255.255.0.0 ac=exclude
add ip fil=78 so=169.254.0.0 ent=6 sm=255.255.0.0 ac=exclude
add ip fil=78 so=172.16.0.0 ent=7 sm=255.240.0.0 ac=exclude
add ip fil=78 so=127.0.0.0 ent=8 sm=255.0.0.0 ac=exclude
add ip fil=78 so=10.0.0.0 ent=9 sm=255.0.0.0 ac=exclude
add ip fil=78 so=224.0.0.0 ent=10 sm=240.0.0.0 ac=exclude
add ip fil=78 so=0.0.0.0 ent=11 des=87.255.246.168 dm=255.255.255.248 ac=include
add ip int=eth0 ip=87.255.246.169 mask=255.255.255.248 fil=78
set ip int=eth0 pro=off
set ip int=eth0 mul=off
add ip int=vlan1159 ip=192.168.0.33 fil=59
set ip int=vlan1159 pro=off
set ip int=vlan1159 mul=off
add ip int=vlan252 ip=192.168.252.254 fil=52
set ip int=vlan252 pro=off
set ip int=vlan252 mul=off
set ip arp timeo=512
set ip arp ref=no
enable ip rou cou
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=87.255.246.174 metric1=15
set ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=87.255.246.174 pref=400
add ip rou=80.92.0.1 mask=255.255.255.255 int=vlan252 next=192.168.252.4
add ip rou=172.17.0.0 mask=255.255.0.0 int=vlan1159 next=192.168.0.253 metric1=14
set ip rou=172.17.0.0 mask=255.255.0.0 int=vlan1159 next=192.168.0.253 pref=380
add ip rou=192.168.0.0 mask=255.255.0.0 int=vlan1159 next=192.168.0.253 metric1=14
set ip rou=192.168.0.0 mask=255.255.0.0 int=vlan1159 next=192.168.0.253 pref=380
add ip rou fil ip=192.168.*.* mask=255.255.255.* ac=Include di=Receive int=vlan1159
add ip rou fil ip=172.17.*.* mask=255.255.255.* ac=Include di=Receive int=vlan1159
add ip rip int=vlan1159 ipaddr=192.168.0.1 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.2 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.3 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.4 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.5 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.6 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.7 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.8 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.9 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.10 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.11 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.12 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.13 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.14 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.15 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.16 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.17 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.18 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.19 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.20 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.21 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.22 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.24 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.25 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.26 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.27 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.44 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.53 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.63 send=rip2 receive=rip2
add ip rip int=vlan1159 ipaddr=192.168.0.253 send=rip2 receive=rip2
add ip dns prim=87.255.238.65
set ip dns cache si=96 tim=60

# Firewall configuration
enable firewall
create firewall policy="78"
enable firewall policy="78" accounting
enable firewall policy="78" icmp_f=unre,ping,timee
add firewall policy="78" int=vlan1159 type=private
add firewall policy="78" int=vlan252 type=private
add firewall policy="78" int=eth0 type=public
add firewall poli="78" nat=enhanced int=vlan252 gblin=eth0


add firewall poli="78" ru=1 ac=allo int=eth0 prot=tcp po=23 ip=87.255.246.169 gb
set firewall poli="78" ru=1 rem=87.255.239.100
add firewall poli="78" ru=11 ac=nat int=eth0 prot=tcp po=1433 ip=192.168.252.9 g
set firewall poli="78" ru=11 rem=192.168.252.254
add firewall poli="78" ru=12 ac=nat int=eth0 prot=tcp po=1433 ip=192.168.252.9 g
set firewall poli="78" ru=12 rem=192.168.252.254
add firewall poli="78" ru=13 ac=nat int=eth0 prot=tcp po=1433 ip=192.168.252.9 g
set firewall poli="78" ru=13 rem=192.168.252.254


# Telnet configuration
set telnet term=vt100

# NTP configuration
enable ntp
set ntp utc=+03:00:00
add ntp peer=87.255.238.65

# Ping configuration
set ping number=2
add ping poll=1 ip=80.92.0.1 cri=10800 l=16 nor=10800
enable ping poll=1

# Bridge configuration
enable bridge
add bridge protocol=1 type=0800 prio=1
add bridge protocol=2 type=0806 prio=1
add brid po=1 int=eth0
add brid po=2 int=eth1
add brid po=3 int=vlan978


# Log configuration
set log out=te filt=1 type=!msg severity=>4


# HTTP configuration
disable http server


# GUI configuration
disable gui
Последний раз редактировалось Del34 22 июн 2017, 15:11, всего редактировалось 1 раз.
Del34
 
Сообщения: 3
Зарегистрирован: 18 июл 2011, 14:14

Re: Помогите разобраться в конфиге AR-450S....

Сообщение DenM » 21 июн 2017, 15:15

Вроде так:
Код: Выделить всё
add firewall poli="78" nat=enhanced int=vlan1159 gblin=eth0
add ip fil=59 so=192.168.0.29 ac=include

Это не нужно:
Код: Выделить всё
add ip fil=59 so=192.168.0.29 ent=1 des=192.168.0.33 ac=include

Разбираться в маршрутизации терпения не хватило. :)
DenM
 
Сообщения: 64
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: Помогите разобраться в конфиге AR-450S....

Сообщение Del34 » 22 июн 2017, 09:05

DenM писал(а):Вроде так:
Код: Выделить всё
add firewall poli="78" nat=enhanced int=vlan1159 gblin=eth0
add ip fil=59 so=192.168.0.29 ac=include

К сожалению не помогло, NAT использовать конечно надо, прописал. Но где-то еще затык... Комп получает DNS, при пинге различных хостов с интернета, получаю IP адреса, но пакеты не идут.
DenM писал(а):Это не нужно:
Код: Выделить всё
add ip fil=59 so=192.168.0.29 ent=1 des=192.168.0.33 ac=include

Разбираться в маршрутизации терпения не хватило. :)

А маршрутизации то тут вроде никакой и нет, комп 192.168.0.29 втыкается в интерфейс маршрутизатора 192.168.0.33 (шлюз по умолчанию для него), а другой интерфейс маршрутизатора 87.255.246.169 смотрит наружу.....остальная маршрутизация внутренняя.... поправьте, если не прав
Del34
 
Сообщения: 3
Зарегистрирован: 18 июл 2011, 14:14

Re: Помогите разобраться в конфиге AR-450S....

Сообщение DenM » 22 июн 2017, 15:21

Маршрутизация и правда мешать не должна, т.к. интерфейс прямой.
Но на всякий случай выложите результат "show ip route full". Других идей нет.
DenM
 
Сообщения: 64
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: Помогите разобраться в конфиге AR-450S....

Сообщение Del34 » 23 июн 2017, 07:32

Код: Выделить всё
IP Routes
-------------------------------------------------------------------------------
Destination      Mask             NextHop          Flags  Interface         Age
DLCI/Circ.       Type     Policy  Protocol    Tag         Metrics          Pref
-------------------------------------------------------------------------------
0.0.0.0          0.0.0.0          87.255.246.174   -----  eth0            82169
-                remote   0       static      -           15                400
80.92.0.1        255.255.255.255  192.168.252.4    -----  vlan252         82169
-                direct   0       static      -           1                  60
87.255.246.168   255.255.255.248  0.0.0.0          -----  eth0            82169
-                direct   0       interface   -           1                   0
172.17.0.0       255.255.0.0      192.168.0.253    -----  vlan1159        82169
-                remote   0       static      -           14                380
172.17.13.0      255.255.255.0    192.168.0.13     -----  vlan1159        82141
-                remote   0       rip         -           2                 100
172.17.16.0      255.255.255.0    192.168.0.16     -----  vlan1159        82155
-                remote   0       rip         -           2                 100
172.17.33.0      255.255.255.0    192.168.0.253    -----  vlan1159        82150
-                remote   0       rip         -           2                 100
192.168.0.0      255.255.0.0      192.168.0.253    -----  vlan1159        82169
-                remote   0       static      -           14                380
192.168.0.0      255.255.255.0    0.0.0.0          -----  vlan1159        82169
-                direct   0       interface   -           1                   0
192.168.104.0    255.255.255.0    192.168.0.4      -----  vlan1159        82150
-                remote   0       rip         -           2                 100
192.168.106.0    255.255.255.0    192.168.0.6      -----  vlan1159        82149
-                remote   0       rip         -           2                 100
192.168.111.0    255.255.255.0    192.168.0.27     -----  vlan1159        82150
-                remote   0       rip         -           2                 100
192.168.116.0    255.255.255.0    192.168.0.16     -----  vlan1159        82155
-                remote   0       rip         -           2                 100
192.168.133.0    255.255.255.0    192.168.0.253    -----  vlan1159        82150
-                remote   0       rip         -           2                 100
192.168.144.0    255.255.255.0    192.168.0.44     -----  vlan1159        82141
-                remote   0       rip         -           2                 100
192.168.153.0    255.255.255.0    192.168.0.53     -----  vlan1159         1373
-                remote   0       rip         -           2                 100
192.168.206.0    255.255.255.0    192.168.0.6      -----  vlan1159        82149
-                remote   0       rip         -           2                 100
192.168.211.0    255.255.255.0    192.168.0.25     -----  vlan1159        82150
-                remote   0       rip         -           2                 100
192.168.216.0    255.255.255.0    192.168.0.16     -----  vlan1159        82155
-                remote   0       rip         -           2                 100
192.168.252.0    255.255.255.0    0.0.0.0          -----  vlan252         82169
-                direct   0       interface   -           1                   0
192.168.252.0    255.255.255.0    192.168.0.253    -----  vlan1159        82150
-                remote   0       rip         -           2                 100
192.168.253.232  255.255.255.248  192.168.0.44     -----  vlan1159        82141
-                remote   0       rip         -           2                 100
-------------------------------------------------------------------------------
Del34
 
Сообщения: 3
Зарегистрирован: 18 июл 2011, 14:14

Re: Помогите разобраться в конфиге AR-450S....

Сообщение DenM » 23 июн 2017, 08:53

Не вижу проблемы. Если прописали оба правила, что я привел - должно работать.
Может кто-нибудь еще что заметит. :(
DenM
 
Сообщения: 64
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург


Вернуться в Маршрутизаторы и фаерволы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

cron