Помощь в настройке Eltex ESR-200

MES, ESR
DKashirskiy
Сообщения: 8
Зарегистрирован: 09 дек 2022 11:35
Reputation: 0

Помощь в настройке Eltex ESR-200

Сообщение DKashirskiy » 09 дек 2022 11:42

Здравствуйте.
Можете просмотреть конфигурацию. Не пойму, почему не работает маршрутизация до сети 172.31.0.0/16. Если прописать на ПК, то нормально. Может будут и другие замечания или предложения. До этого не работал с такими железками.

Код: Выделить всё


esr-200# show running-config
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service DNS
  description "DNS"
  port-range 53
exit
object-group service HTTP
  description "HTTP/2"
  port-range 80
  port-range 443
exit
object-group service MAIL
  description "EMAIL"
  port-range 25
  port-range 465
  port-range 110
  port-range 995
  port-range 143
  port-range 993
exit
object-group service SBIS
  description "SBIS 2.4"
  port-range 7777
exit
object-group service PSBank
  description "PromsvyazBank"
  port-range 9943
exit
object-group service TRACEROUTE
  description "TRACEROUTE"
  port-range 33434-33529
exit
object-group service AUSI_WEB
  description "TCP web ports for HTTPS AUSI"
  port-range 80
  port-range 443
exit
object-group service AUSI_DATA
  description "TCP web ports for data AUSI"
  port-range 8005
exit
object-group service OPEN_VPN
  description "TCP web ports for data AUSI"
  port-range 48777
exit

object-group network LAN
  description "LAN"
  ip prefix 10.130.32.0/24
exit
object-group network EXTERNAL_IP
  description "External IP address"
  ip address-range 62.220.xxx.xxx
  ip address-range 213.80.xxx.xxx
exit
object-group network LOCAL_AUSI_SERVER_IP
  description "Local IP address WEB-server"
  ip address-range 10.130.32.47
exit
object-group network LOCAL_OPEN_VPN_IP
  description "Local OpenVPN server"
  ip address-range 10.130.32.74
exit

syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default info

username admin
  password encrypted ************
exit


boot host auto-config
vlan 2
exit

security zone trusted
exit
security zone untrusted
exit
security zone LAN
  description "Localnet"
exit
security zone INET
  description "Internet"
exit


wan load-balance target-list google
  target 1
    ip address 8.8.8.8
    enable
  exit
exit

bridge 1
  vlan 1
  security-zone trusted
  ip address 192.168.1.1/24
  enable
exit
bridge 2
  vlan 2
  security-zone INET
  ip address dhcp
  enable
exit

cellular profile 1
  APN internet
  number *99#
exit

interface gigabitethernet 1/0/1
  mode switchport
  switchport forbidden default-vlan
  switchport access vlan 2
exit
interface gigabitethernet 1/0/2
  security-zone INET
  ip address 213.80.xxx.xxx/30
  wan load-balance nexthop 213.80.xxx.xxx
  wan load-balance target-list google
  wan load-balance enable
exit
interface gigabitethernet 1/0/3
  description "Localnet"
  security-zone LAN
  ip address 10.130.32.1/24
exit
interface gigabitethernet 1/0/4
  mode switchport
exit
interface gigabitethernet 1/0/5
  mode switchport
exit
interface gigabitethernet 1/0/6
  mode switchport
exit
interface gigabitethernet 1/0/7
  mode switchport
exit
interface gigabitethernet 1/0/8
  mode switchport
exit
cellular modem 1
  wan load-balance nexthop tunnel enable
  wan load-balance target-list google
  wan load-balance enable
  device 3-1
  security-zone INET
  profile 1
  enable
exit
tunnel pppoe 1
  interface bridge 2
  security-zone INET
  username epcs********* password ascii-text encrypted ***********
  enable
  wan load-balance nexthop tunnel enable
  wan load-balance target-list google
  wan load-balance enable
exit

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port ntp
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
exit
security zone-pair INET self
  rule 1
    description "ICMP"
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair LAN self
  rule 1
    description "DHCP"
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    description "ICMP"
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair LAN INET
  rule 1
    description "HTTP"
    action permit
    match protocol tcp
    match destination-port HTTP
    enable
  exit
  rule 2
    description "HTTP"
    action permit
    match protocol udp
    match destination-port HTTP
    enable
  exit
  rule 3
    description "MAIL"
    action permit
    match protocol tcp
    match destination-port MAIL
    enable
  exit
  rule 4
    description "DNS"
    action permit
    match protocol udp
    match destination-port DNS
    enable
  exit
  rule 5
    description "DNS"
    action permit
    match protocol udp
    match destination-port DNS
    enable
  exit
  rule 6
    description "PSBank"
    action permit
    match protocol udp
    match destination-port PSBank
    enable
  exit
  rule 7
    description "SBIS 2.4"
    action permit
    match protocol udp
    match destination-port SBIS
    enable
  exit
  rule 8
    description "ICMP"
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair INET LAN
  rule 1
    action permit
    match protocol tcp
    match destination-address LOCAL_AUSI_SERVER_IP
    match destination-nat
    match destination-port AUSI_WEB
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-address LOCAL_AUSI_SERVER_IP
    match destination-nat
    match destination-port AUSI_DATA
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match destination-address LOCAL_AUSI_SERVER_IP
    match destination-nat
    match destination-port AUSI_DATA
    enable
  exit
  rule 4
    action permit
    match protocol udp
    match destination-address LOCAL_OPEN_VPN_IP
    match destination-nat
    match destination-port OPEN_VPN
    enable
  exit
exit

security passwords default-expired
nat destination
  pool WEB_SERVER_80
    ip address 10.130.32.47
    ip port 80
  exit
  pool WEB_SERVER_443
    ip address 10.130.32.47
    ip port 443
  exit
  pool WEB_SERVER_8005
    ip address 10.130.32.47
    ip port 8005
  exit
  pool OPEN_VPN_SERVER_48777
    ip address 10.130.32.74
    ip port 48777
  exit
  ruleset DNAT
    from zone INET
    rule 1
      match protocol tcp
      match destination-address EXTERNAL_IP
      match destination-port AUSI_WEB
      action destination-nat pool WEB_SERVER_443
      enable
    exit
    rule 2
      match protocol tcp
      match destination-address EXTERNAL_IP
      match destination-port AUSI_DATA
      action destination-nat pool WEB_SERVER_8005
      enable
    exit
    rule 3
      match protocol udp
      match destination-address EXTERNAL_IP
      match destination-port AUSI_DATA
      action destination-nat pool WEB_SERVER_8005
      enable
    exit
    rule 4
      match protocol udp
      match destination-address EXTERNAL_IP
      match destination-port OPEN_VPN
      action destination-nat pool OPEN_VPN_SERVER_48777
      enable
    exit
    rule 6
      match protocol tcp
      match destination-address EXTERNAL_IP
      match destination-port AUSI_WEB
      action destination-nat pool WEB_SERVER_443
      enable
    exit
  exit
exit

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
  ruleset SNAT
    to zone INET
    rule 1
      description "Access to Internet from LAN"
      match source-address LAN
      action source-nat interface
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool lan-pool
  network 192.168.1.0/24
  address-range 192.168.1.2-192.168.1.254
  default-router 192.168.1.1
exit
ip dhcp-server pool Local
  network 10.130.32.0/24
  default-lease-time 001:00:00
  address-range 10.130.32.125-10.130.32.200
  address 10.130.32.75 mac-address 50:e5:49:36:84:ff
  default-router 10.130.32.1
  dns-server 172.31.42.15,172.31.42.14
exit

ip route 0.0.0.0/0 wan load-balance rule 1
ip route 10.130.11.0/31 10.130.32.99
ip route 10.130.11.14/31 10.130.32.99
ip route 10.130.34.0/27 10.130.32.99
ip route 10.130.35.0/27 10.130.32.99
ip route 10.130.39.0/24 10.130.32.74
ip route 10.130.96.0/31 10.130.32.99
ip route 10.30.22.0/24 10.130.32.99
ip route 10.30.25.0/24 10.130.32.99
ip route 10.77.224.0/24 10.130.32.99
ip route 172.31.0.0/16 10.130.32.99

wan load-balance rule 1
  failover
  outbound tunnel pppoe 1 20
  outbound interface gigabitethernet 1/0/2 2
  outbound cellular modem 1
  enable
exit

ip ssh server

ntp enable
ntp broadcast-client enable
Последний раз редактировалось DKashirskiy 12 дек 2022 12:20, всего редактировалось 1 раз.

Garri
Сообщения: 379
Зарегистрирован: 17 апр 2014 13:30
Reputation: 7

Re: Помощь в настройке Eltex ESR-200

Сообщение Garri » 11 дек 2022 15:18

Добрый день!
Я так понимаю всё находиться в одной сети 10.130.32/24 и из неё получаете доступ к остальным сетям?
А есть ли доступ, например по ssh или rdp на том же ПК (откуда тестируете, при условии, что на ПК только дефолный маршрут) в другие сети, которые перечислены в настройках?

DKashirskiy
Сообщения: 8
Зарегистрирован: 09 дек 2022 11:35
Reputation: 0

Re: Помощь в настройке Eltex ESR-200

Сообщение DKashirskiy » 13 дек 2022 13:09

Garri писал(а):Добрый день!
Я так понимаю всё находиться в одной сети 10.130.32/24 и из неё получаете доступ к остальным сетям?
А есть ли доступ, например по ssh или rdp на том же ПК (откуда тестируете, при условии, что на ПК только дефолный маршрут) в другие сети, которые перечислены в настройках?

Нет, без прописанных маршрутов к другим сетям не работает.
И destination NAT тоже странно работает, с одним подключением к Интернету, как положено, но с двумя, нет доступа к ресурсу.

Garri
Сообщения: 379
Зарегистрирован: 17 апр 2014 13:30
Reputation: 7

Re: Помощь в настройке Eltex ESR-200

Сообщение Garri » 14 дек 2022 00:33

1. Добавьте на ESR и проверьте работу с маршрутом по умолчанию:
security zone-pair LAN LAN
rule 1
action permit
enable
exit
exit

2. Для 10.130.32.99 кто является дефолтом?

DKashirskiy
Сообщения: 8
Зарегистрирован: 09 дек 2022 11:35
Reputation: 0

Re: Помощь в настройке Eltex ESR-200

Сообщение DKashirskiy » 10 янв 2023 19:45

Garri писал(а):1. Добавьте на ESR и проверьте работу с маршрутом по умолчанию:
security zone-pair LAN LAN
rule 1
action permit
enable
exit
exit

2. Для 10.130.32.99 кто является дефолтом?


Был в отпуске.
1. Данное правило уже существует.
2. 10.130.32.1

Garri
Сообщения: 379
Зарегистрирован: 17 апр 2014 13:30
Reputation: 7

Re: Помощь в настройке Eltex ESR-200

Сообщение Garri » 11 янв 2023 02:49

Посмотрите traceroute из 10.130.32 в сторону 172.31 и обратно, при условии только дефолтного маршрута в сети 10.130.32.

DKashirskiy
Сообщения: 8
Зарегистрирован: 09 дек 2022 11:35
Reputation: 0

Re: Помощь в настройке Eltex ESR-200

Сообщение DKashirskiy » 11 янв 2023 19:54

Garri писал(а):Посмотрите traceroute из 10.130.32 в сторону 172.31 и обратно, при условии только дефолтного маршрута в сети 10.130.32.

Странно, в моё отсутствие им никто не занимался, но traceroute и ping работают из 10.130.32. На той стороне связь, с коллегами, асинхронная. Не могу надолго оставить Eltex.
Сейчас не открываются сайты в сети 172.31. ERR_SOCKET_NOT_CONNECTED в chrome. Может в firewall забыл что-то добавить?

Garri
Сообщения: 379
Зарегистрирован: 17 апр 2014 13:30
Reputation: 7

Re: Помощь в настройке Eltex ESR-200

Сообщение Garri » 11 янв 2023 23:03

А кроме вэб, что-то другое открывается? Пробовали подключаться с этого компа telnet-ом на какой-нибудь другой порт в сети 172.31/16 кроме 80?
Подключаетесь по доменному имени или ip-адресу?
Для эксперимента можете отключить файрвол (потом обратно включить) на внутреннем интерфейсе gi1/0/3: ip firewall disable
И перепроверить доступ.
Не забудьте применить настройки.
На железке 10.130.32.99 помимо маршрутизатора есть файрвол?

DKashirskiy
Сообщения: 8
Зарегистрирован: 09 дек 2022 11:35
Reputation: 0

Re: Помощь в настройке Eltex ESR-200

Сообщение DKashirskiy » 24 янв 2023 13:47

Garri писал(а):А кроме вэб, что-то другое открывается? Пробовали подключаться с этого компа telnet-ом на какой-нибудь другой порт в сети 172.31/16 кроме 80?
Подключаетесь по доменному имени или ip-адресу?
Для эксперимента можете отключить файрвол (потом обратно включить) на внутреннем интерфейсе gi1/0/3: ip firewall disable
И перепроверить доступ.
Не забудьте применить настройки.
На железке 10.130.32.99 помимо маршрутизатора есть файрвол?


Получается DNS, работает. но только для Интернета. Он в сети 172.31/16.
Подключаюсь по имени.
С отключенным файрволом работает.
На сколько я помню, только маршрутизация.

Garri
Сообщения: 379
Зарегистрирован: 17 апр 2014 13:30
Reputation: 7

Re: Помощь в настройке Eltex ESR-200

Сообщение Garri » 25 янв 2023 19:15

Т е ДНС используется из сети 172.31 ?
Покажите настройки сети с ПК.

DKashirskiy
Сообщения: 8
Зарегистрирован: 09 дек 2022 11:35
Reputation: 0

Re: Помощь в настройке Eltex ESR-200

Сообщение DKashirskiy » 26 янв 2023 12:44

Garri писал(а):Т е ДНС используется из сети 172.31 ?
Покажите настройки сети с ПК.

Код: Выделить всё


1. Да
2. Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевой адаптер Broadcom NetLink (TM) Gigabit Ethernet
   Физический адрес. . . . . . . . . : 00-26-9E-A5-71-EB
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.130.32.125(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 26 января 2023 г. 8:57:28
   Срок аренды истекает. . . . . . . . . . : 27 января 2023 г. 8:57:28
   Основной шлюз. . . . . . . . . : 10.130.32.1
   DHCP-сервер. . . . . . . . . . . : 10.130.32.1
   DNS-серверы. . . . . . . . . . . : 172.31.42.14
                                       172.31.42.15
   NetBios через TCP/IP. . . . . . . . : Включен

Garri
Сообщения: 379
Зарегистрирован: 17 апр 2014 13:30
Reputation: 7

Re: Помощь в настройке Eltex ESR-200

Сообщение Garri » 27 янв 2023 01:24

Не могли бы ещё показать вывод ко внутреннему сайту - telnet 172.31.ххх 80 (при условии только дефолтного маршрута). Проваливается ли на него телнет?

DKashirskiy
Сообщения: 8
Зарегистрирован: 09 дек 2022 11:35
Reputation: 0

Re: Помощь в настройке Eltex ESR-200

Сообщение DKashirskiy » 27 янв 2023 16:48

Garri писал(а):Не могли бы ещё показать вывод ко внутреннему сайту - telnet 172.31.ххх 80 (при условии только дефолтного маршрута). Проваливается ли на него телнет?


Маршрутизация прописана на роутере. На ПК DHCP, статических маршрутов нет. Впри включённом Firewall telnet 172.31.х.х 80 выдаёт черный экран, при отключённом также, но после ctrl+c

Код: Выделить всё

 HTTP/1.1 400 Bad Request
Server: nginx
Date: Fri, 27 Jan 2023 09:37:41 GMT
Content-Type: text/html
Content-Length: 150
Connection: close

<html>
<head><title>400 Bad Request</title></head>
<body>
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx</center>
</body>
</html>


Подключение к узлу утеряно.

C:\Users\SysAdmin>

Garri
Сообщения: 379
Зарегистрирован: 17 апр 2014 13:30
Reputation: 7

Re: Помощь в настройке Eltex ESR-200

Сообщение Garri » 28 янв 2023 14:37

Я правильно понимаю, что поведение одинаковое и при вкл. fw, и при выкл. fw при нажатие ctrl+c?
Если так то соединение на ip:80 проходи. Другой вопрос почему сервер отбрасывает соединение.
Тогда покажите запрос телнетом с использованием доменного имени, т е туда куда конкретно нужно попасть (в локальной сети), например: telnet ya.ru 443.

DKashirskiy
Сообщения: 8
Зарегистрирован: 09 дек 2022 11:35
Reputation: 0

Re: Помощь в настройке Eltex ESR-200

Сообщение DKashirskiy » 30 янв 2023 14:45

Garri писал(а):Я правильно понимаю, что поведение одинаковое и при вкл. fw, и при выкл. fw при нажатие ctrl+c?
Если так то соединение на ip:80 проходи. Другой вопрос почему сервер отбрасывает соединение.
Тогда покажите запрос телнетом с использованием доменного имени, т е туда куда конкретно нужно попасть (в локальной сети), например: telnet ya.ru 443.


Нет, не одинаковое. Если при включённом fw, попробовать подключиться telnet ip port, то после ctrl+cпросто переходит в cmd, если отключить, то выводит заголовки и теги и переходит в cmd.
С доменным именем аналогично. Но после обратного включения fw всё равно заходит и на сайт и по telnet. Может закешировал, мало времени прошло, начали жаловаться я переключил.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей