Как же заставить работать этот роутер ..

[mzkk]

Уважаемые коллеги, подскажите пожалуйста, вот что я делаю не так.. Есть роутер ESR-200 , порт 2 смотрит на провайдера, порт 1 в коммутатор локальной сети.

Код: Выделить всё

security zone trusted
exit
security zone untrusted
exit

interface gigabitethernet 1/0/1
  security-zone trusted
  ip firewall disable
  ip address 192.168.3.1/24
exit
interface gigabitethernet 1/0/2
  security-zone untrusted
  ip firewall disable
  ip address 185.211.3.66/29
exit


Есть набор стандартных правил

Код: Выделить всё

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
...
security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port ntp
    enable
  exit
exit


Но из локалки ни сам роутер, ни ресурсы инета скрывающиеся за ним - не доступны, хоть в лепешку расшибись, 3 день мозг ломаю над ним..

Примечание: с роутера пингуются и хосты ЛВС и инет, 8.8.8.8 в частности

[tops]

Если на интерфейсе настроена ip firewall disable - значит firewall отключен. Правила создавать не нужно.
Если маршрутизатор не отвечает на ping 192.168.3.1 c ПК в локальной сети - вероятнее всего проблемы либо в настройках самого ПК либо коммутатора.
можно посмотреть пакеты на интерфейсе при помощи команды
monitor gi1/0/2

[mzkk]

Если на интерфейсе настроена ip firewall disable - значит firewall отключен. Правила создавать не нужно.

ip firewall disable уже от отчаяния сделал, без этих строк ситуация аналогичная..

Маршрутизатор не отвечает на ping 192.168.3.1 c ПК в локальной сети, но при этом с этого же ПК есть доступ по SSH к роутеру..

Пакеты мониторил, из инета на 2 порт всякие хакеры долбятся, из локалки на 1 порт видны приходящие icmp пакеты - что с ними роутер делает далее, просто загадка для меня.

Код: Выделить всё

mz-esr200# monitor gigabitethernet 1/0/1 protocol icmp
17:38:09.897265 f8:da:0c:4f:e1:35 > a8:f9:4b:ad:b1:80, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 128, id 61458, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.3.254 > 8.8.8.8: ICMP echo request, id 1, seq 4089, length 40
17:38:11.704337 1c:1b:0d:ee:02:b0 > a8:f9:4b:ad:b1:80, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 128, id 8750, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.3.26 > 192.168.3.1: ICMP echo request, id 10, seq 33300, length 40
17:38:14.794925 f8:da:0c:4f:e1:35 > a8:f9:4b:ad:b1:80, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 128, id 61459, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.3.254 > 8.8.8.8: ICMP echo request, id 1, seq 4090, length 40
17:38:16.699649 1c:1b:0d:ee:02:b0 > a8:f9:4b:ad:b1:80, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 128, id 8751, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.3.26 > 192.168.3.1: ICMP echo request, id 10, seq 33301, length 40
17:38:19.794849 f8:da:0c:4f:e1:35 > a8:f9:4b:ad:b1:80, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 128, id 61460, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.3.254 > 8.8.8.8: ICMP echo request, id 1, seq 4091, length 40
17:38:21.705046 1c:1b:0d:ee:02:b0 > a8:f9:4b:ad:b1:80, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 128, id 8752, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.3.26 > 192.168.3.1: ICMP echo request, id 10, seq 33302, length 40
^C
6 packets captured
6 packets received by filter
0 packets dropped by kernel


Кстати может и в коммутаторе дело конечно, порт смотрящий на ESR я уже тоже перекопал как только мог, сейчас на таких настройках остановился (компы в локалке в 30 влане на коммутаторе общаются)

Код: Выделить всё

interface GigabitEthernet4/0/44
 switchport access vlan 30
 switchport trunk allowed vlan 30
 switchport mode access
 spanning-tree portfast edge
end


[mzkk]

..проверил самую бредовую идею "а вдруг в прошивке зашито что только порт 1 должен идти к провайдеру", поменял местами 1 и 2 порты, но чуда не свершилось
осталась еще одна аналогичная идея, "вдруг порт 1 работает только если получает адрес по dhcp", ведь во всех примерах именно так настраивается

[tops]

то, что нет ответов на пакеты:
192.168.3.254 > 8.8.8.8: ICMP echo request, id 1, seq 4089, length 40
понятно. в приведенном конфиге не было настроек NAT.
вот почему нет ответов на:
192.168.3.26 > 192.168.3.1: ICMP echo request, id 10, seq 33300, length 40
не понятно. возможно в конфиге ошибка, в части, которая не приведена в посте №1

[mzkk]

Я не стал весь конфиг выкладывать, чтобы не загромождать пост, на самом деле он весь практически "заводской", соответственно NAT тоже включен (

Код: Выделить всё

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
exit

Или здесь нужно что-то подкрутить?

Касательно пинга до 192.168.3.1, этот интерфейс в зону trusted ведь смотрит и соответственно "стандартное" правило в конфиге

Код: Выделить всё

security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port ntp
    enable
  exit
exit

вот полностью текущий конф, я грешил на созданные правила ip firewall, пробовал их все удалить, но эффекта не было тоже.. вланы и бридж "остались" от прошлых экспериментов

Код: Выделить всё

mz-esr200# show running-config
hostname mz-esr200

object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit

syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default info


username admin
  password encrypted $6$
exit
username administrator
  password encrypted $6$
  privilege 15
exit


boot host auto-config
vlan 30
  name "LAN"
exit
vlan 66
  name "ZSPD"
exit
vlan 77
  name "ESPD"
exit
vlan 2
exit

domain name-server 192.168.3.2

security zone trusted
exit
security zone untrusted
exit


bridge 5
  vlan 66
  security-zone untrusted
  ip address 10.254.254.34/29
  enable
exit

interface gigabitethernet 1/0/1
  security-zone untrusted
  ip address 85.21.3.66/29
exit
interface gigabitethernet 1/0/2
  description "LAN"
  security-zone trusted
  ip address 192.168.3.1/23
exit
interface gigabitethernet 1/0/3
  mode switchport
  switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/4
  mode switchport
  switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/5
  mode switchport
  switchport forbidden default-vlan
  switchport access vlan 66
exit
interface gigabitethernet 1/0/6
  mode switchport
  switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/7
  mode switchport
  switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/8
  mode switchport
  switchport forbidden default-vlan
exit
security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port ntp
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
  exit
exit

security passwords default-expired
ip firewall screen dos-defense syn-flood 5
ip firewall screen dos-defense icmp-threshold 5
ip firewall screen dos-defense udp-threshold 5
ip firewall screen dos-defense land
ip firewall screen suspicious-packets icmp-fragment
ip firewall screen suspicious-packets large-icmp
ip firewall screen suspicious-packets syn-fragment
ip firewall screen suspicious-packets unknown-protocols
ip firewall screen spy-blocking port-scan 10000 10000
ip firewall screen spy-blocking ip-sweep 1000
ip firewall screen spy-blocking icmp-type reserved
ip firewall screen spy-blocking icmp-type source-quench
ip firewall screen spy-blocking icmp-type echo-request
ip firewall screen spy-blocking icmp-type time-exceeded
ip firewall screen spy-blocking icmp-type destination-unreachable
ip firewall screen spy-blocking syn-fin
ip firewall screen spy-blocking fin-no-ack
ip firewall screen spy-blocking tcp-no-flag
ip firewall screen spy-blocking spoofing
ip firewall screen spy-blocking tcp-all-flags

ip firewall logging interval 60

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
  ruleset zspd
    to interface bridge 5
    rule 1
      action source-nat interface
      enable
    exit
  exit
exit

ip route 0.0.0.0/0 85.21.3.65

ip ssh server

clock timezone gmt +7

ntp enable
ntp server 192.168.3.2
  minpoll 4
exit

mz-esr200#


[mzkk]

Всем спасибо за помощь, оказалось дело было всетки в правиле фаерволла ip firewall screen spy-blocking icmp-type echo-request , после его отмены все заработало!
По мануалу это правило должно было от злоумышленников роутер защитить, а оказалось защитило от всех )

[tops]

В мануале написано, что эта команда блокирует все icmp echo-request.
https://docs.eltex-co.ru/pages/viewpage.action?pageId=53817739#id-%D0%A3%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5%D0%BB%D0%BE%D0%B3%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%D0%BC%D0%B8%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%BE%D0%B9%D0%BE%D1%82%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D1%85%D0%B0%D1%82%D0%B0%D0%BA-ipfirewallscreenspy-blockingicmp-typeecho-request
всё правильно работает.

[mzkk]

Да.. но мне попался в руки другой мануал, в котором было написано


Я видимо середину описания опустил, увидел только блокировать всех ... злоумышленников - то что надо, вставляю в конфиг )

[Ausha]

Кстати может и в коммутаторе дело конечно, порт смотрящий на ESR я уже тоже перекопал как только мог, сейчас на таких настройках остановился (компы в локалке в 30 влане на коммутаторе общаются)

Код: Выделить всё

interface GigabitEthernet4/0/44
 switchport access vlan 30
 switchport trunk allowed vlan 30
 switchport mode access
 spanning-tree portfast edge
end


А как порт коммутатора одновременно acces и trunk?