USG LITE 60AX防火牆設置問題

HAHAHA
HAHAHA 文章數: 13  Freshman Member
First Comment Friend Collector

關於USG LITE 60AX的防火牆,要如何設置才能讓WAN端的IP能夠存取LAN底下的設備?

家中網路連接為

路由器(10.10.10.1/24) > USG LITE 60AX(10.10.10.2/24) > 家中底下設備(192.168.1.0/24)

路由器上有配置wireguard VPN,client端IP為192.168.3.2

如我想要讓WAN下的設備192.168.3.2,能存取LAN底下192.168.1.0/24的設備?

嘗試透過Nebula下,設置防火牆如下規則,一樣也是不通

有確認USG LITE 60AX,對路由的網段存取都是正常的,含對192.168.3.2 PING,都可以PING通,但唯獨從路由器要往USG LITE 60AX內的網段設備,就是PING不通,到底該如何設置呢?

«1

All Replies

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 179  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    你的網路架構應該是這樣

    [網際網路]---[路由器(10.10.10.1/24, VPN 192.168.3.2)]---[USG LITE 60AX(10.10.10.2/24)]---[家中設備(192.168.1.0/24)]
    

    你遇到的問題是, 雖然可以從 USG LITE 60AX ping 到 VPN client (192.168.3.2),但是 VPN client 無法 ping 到 USG LITE 60AX 後面的設備 (192.168.1.0/24)。

    是嗎?

    檢簡易你可以檢查一下,

    路由問題:

    • 您的路由器可能沒有正確地將來自 192.168.3.2 的流量路由到 USG LITE 60AX。您需要在路由器上添加一條路由規則,將目標為 192.168.1.0/24 的流量導向 USG LITE 60AX 的 LAN IP (10.10.10.2)。

    例如: 添加一條新的路由規則:

    • 目標網路:192.168.1.0/24
    • 子網路遮罩:255.255.255.0
    • 閘道:10.10.10.2

    P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷

  • HAHAHA
    HAHAHA 文章數: 13  Freshman Member
    First Comment Friend Collector

    您好,我這邊確認我的路由器這邊,針對192.168.1.0/24網段確實有指向我的USG LITE 60AX

    因為我連線VPN回去時,可以連回去USG LITE 60AX LAN1 底下的設備

    但是另外一個,串接在另一個於USG LITE 60AX LAN5底下的卻不通

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 179  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    根據你的描述, , 可以交叉測試, 把接在 LAN1 的設備, 試試看接 LAN5 是否有通

    因為 LAN1 底下的設備有通, 在設定上就沒問題了.

    或者可以檢查看看 LAN5 的設備預設 gateway 是否設定正確

    以上建議, 希望有幫助. 謝謝你

    P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷

  • HAHAHA
    HAHAHA 文章數: 13  Freshman Member
    First Comment Friend Collector

    由於目前人在外,可能要等我本週五晚上回去才能做實體的線路變更了

    基本上,LAN1與LAN2部分,都僅是交換機而已

    差別在LAN1是有網管功能,LAN5底下的交換機為傻瓜交換機這樣

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 179  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    查看一下你 post 的圖片,

    LAN1 與 LAN5 底下的設備應該都是同一網段?因為你的規則名稱是 inside

    所以小編猜測應該不會是網路設定的問題, 畢竟 LAN1 的設備都可以通了

    也可以先查看看 LAN5 底下的設備網段設定是否正確

    再來就是分段測試, 先 ping LAN5 的 gateway 是否有通, ping LAN1 的設備是否通

    如此測試看看, 應該會有所幫助的

    以上建議提供給你參考

    P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷

  • HAHAHA
    HAHAHA 文章數: 13  Freshman Member
    First Comment Friend Collector

    您好,我的LAN1與LAN5皆為同網段,都在192.168.1.0/24底下

    然後LAN5與LAN1的gateway均是USG LITE 60AX此設備192.168.1.1/24

    然後不清楚為何只有LAN1交換機管理位置192.168.1.6能連線到,但是神奇的是我的那個網管交換機底下的設備,一樣也無法連線,且無設定任何vlan

    然後傻瓜交換機底下設備,皆無法從路由器那邊連線進來,但是USG LITE 60AX設備底下任一設備,皆可直接ping 通路由器底下任何設備,含VPN的連線這樣

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 179  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    請你依照下面方法開啟 Zyxel Support, 工程師想看看你的 60AX 介面設定

    開啟後請告訴我們, 你的組織與站點名稱

    https://bit.ly/4d9dx1Q

    P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷

  • HAHAHA
    HAHAHA 文章數: 13  Freshman Member
    First Comment Friend Collector

    您好,已開啟授權Zyxel工程師登入

    組織與站點名稱皆為home

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 179  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    工程師建議你可以嘗試修改 60AX 的 LAN Interface 上的 IP

    因為中華電信小烏龜的LAN IP 也是設定 192.168.1.1 我們猜測是因為 IP 衝突才造成這種奇怪的狀況

    以上建議, 請你試試看, 謝謝

    P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷

  • HAHAHA
    HAHAHA 文章數: 13  Freshman Member
    First Comment Friend Collector

    您好,我的小烏龜部分,是在我路由器的上一層,小烏龜的LAN IP位址一直都是192.168.0.1/24

    小烏龜>路由器>USG LITE 60AX

    也確認透過vpn連回去的狀態,可以連上小烏龜192.168.0.1與USG LITE 60AX底下的192.168.1.6交換器的管理位置,所以應該不存在您們說的問題

    然後我這邊由於有部分IOT設備的存在,無法輕易的變動預設閘道與位置,謝謝