Элтекс

Уважаемые коллеги, подскажите пожалуйста, вот что я делаю не так.. Есть роутер ESR-200 , порт 2 смотрит на провайдера, порт 1 в коммутатор локальной сети.


Есть набор стандартных правил

Но из локалки ни сам роутер, ни ресурсы инета скрывающиеся за ним - не доступны, хоть в лепешку расшибись, 3 день мозг ломаю над ним..

Примечание: с роутера пингуются и хосты ЛВС и инет, 8.8.8.8 в частности

Если на интерфейсе настроена ip firewall disable - значит firewall отключен. Правила создавать не нужно.
Если маршрутизатор не отвечает на ping 192.168.3.1 c ПК в локальной сети - вероятнее всего проблемы либо в настройках самого ПК либо коммутатора.
можно посмотреть пакеты на интерфейсе при помощи команды
monitor gi1/0/2

Если на интерфейсе настроена ip firewall disable - значит firewall отключен. Правила создавать не нужно.

ip firewall disable уже от отчаяния сделал, без этих строк ситуация аналогичная..

Маршрутизатор не отвечает на ping 192.168.3.1 c ПК в локальной сети, но при этом с этого же ПК есть доступ по SSH к роутеру..

Пакеты мониторил, из инета на 2 порт всякие хакеры долбятся, из локалки на 1 порт видны приходящие icmp пакеты - что с ними роутер делает далее, просто загадка для меня.




Кстати может и в коммутаторе дело конечно, порт смотрящий на ESR я уже тоже перекопал как только мог, сейчас на таких настройках остановился (компы в локалке в 30 влане на коммутаторе общаются)

..проверил самую бредовую идею "а вдруг в прошивке зашито что только порт 1 должен идти к провайдеру", поменял местами 1 и 2 порты, но чуда не свершилось
осталась еще одна аналогичная идея, "вдруг порт 1 работает только если получает адрес по dhcp", ведь во всех примерах именно так настраивается

то, что нет ответов на пакеты:
192.168.3.254 > 8.8.8.8: ICMP echo request, id 1, seq 4089, length 40
понятно. в приведенном конфиге не было настроек NAT.
вот почему нет ответов на:
192.168.3.26 > 192.168.3.1: ICMP echo request, id 10, seq 33300, length 40
не понятно. возможно в конфиге ошибка, в части, которая не приведена в посте №1

Я не стал весь конфиг выкладывать, чтобы не загромождать пост, на самом деле он весь практически "заводской", соответственно NAT тоже включен (


Или здесь нужно что-то подкрутить?

Касательно пинга до 192.168.3.1, этот интерфейс в зону trusted ведь смотрит и соответственно "стандартное" правило в конфиге


вот полностью текущий конф, я грешил на созданные правила ip firewall, пробовал их все удалить, но эффекта не было тоже.. вланы и бридж "остались" от прошлых экспериментов

Всем спасибо за помощь, оказалось дело было всетки в правиле фаерволла ip firewall screen spy-blocking icmp-type echo-request , после его отмены все заработало!
По мануалу это правило должно было от злоумышленников роутер защитить, а оказалось защитило от всех )

В мануале написано, что эта команда блокирует все icmp echo-request.
https://docs.eltex-co.ru/pages/viewpage.action?pageId=53817739#id-%D0%A3%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5%D0%BB%D0%BE%D0%B3%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%D0%BC%D0%B8%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%BE%D0%B9%D0%BE%D1%82%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D1%85%D0%B0%D1%82%D0%B0%D0%BA-ipfirewallscreenspy-blockingicmp-typeecho-request
всё правильно работает.

Да.. но мне попался в руки другой мануал, в котором было написано


Я видимо середину описания опустил, увидел только блокировать всех ... злоумышленников - то что надо, вставляю в конфиг )

mzkk писал(а):

Кстати может и в коммутаторе дело конечно, порт смотрящий на ESR я уже тоже перекопал как только мог, сейчас на таких настройках остановился (компы в локалке в 30 влане на коммутаторе общаются)

Код: Выделить всё

interface GigabitEthernet4/0/44
 switchport access vlan 30
 switchport trunk allowed vlan 30
 switchport mode access
 spanning-tree portfast edge
end


А как порт коммутатора одновременно acces и trunk?