USG LITE 60AX防火牆設置問題
關於USG LITE 60AX的防火牆,要如何設置才能讓WAN端的IP能夠存取LAN底下的設備?
家中網路連接為
路由器(10.10.10.1/24) > USG LITE 60AX(10.10.10.2/24) > 家中底下設備(192.168.1.0/24)
路由器上有配置wireguard VPN,client端IP為192.168.3.2
如我想要讓WAN下的設備192.168.3.2,能存取LAN底下192.168.1.0/24的設備?
嘗試透過Nebula下,設置防火牆如下規則,一樣也是不通
有確認USG LITE 60AX,對路由的網段存取都是正常的,含對192.168.3.2 PING,都可以PING通,但唯獨從路由器要往USG LITE 60AX內的網段設備,就是PING不通,到底該如何設置呢?
Accepted Solution
-
@HAHAHA 您好,感謝您提供的架構圖~
從提供的圖片來看ASUS(192.168.1.4)應該是接在LAN孔,並且如果是從Mikrotik路由過來(192.168.3.0/24)
那可能ASUS 需要再關閉本身的防火牆,並且需要設定Static Route.
可參考ASUS 的範例(https://www.asus.com/tw/support/faq/1011706/)至於NAS 也有可能關閉Ping 的服務或是不允許不同網段的連線,建議也先關閉防火牆看看.
因為目前從60AX 的lan 介面ping NAS 192.168.1.111就沒有回應.以上提供參考測試~
1
All Replies
-
你好,
你的網路架構應該是這樣
[網際網路]---[路由器(10.10.10.1/24, VPN 192.168.3.2)]---[USG LITE 60AX(10.10.10.2/24)]---[家中設備(192.168.1.0/24)]
你遇到的問題是, 雖然可以從 USG LITE 60AX ping 到 VPN client (192.168.3.2),但是 VPN client 無法 ping 到 USG LITE 60AX 後面的設備 (192.168.1.0/24)。
是嗎?
檢簡易你可以檢查一下,
路由問題:
- 您的路由器可能沒有正確地將來自 192.168.3.2 的流量路由到 USG LITE 60AX。您需要在路由器上添加一條路由規則,將目標為 192.168.1.0/24 的流量導向 USG LITE 60AX 的 LAN IP (10.10.10.2)。
例如: 添加一條新的路由規則:
- 目標網路:192.168.1.0/24
- 子網路遮罩:255.255.255.0
- 閘道:10.10.10.2
YM
看看您今年如何在 Zyxel Community 發揮影響力!
0 -
您好,我這邊確認我的路由器這邊,針對192.168.1.0/24網段確實有指向我的USG LITE 60AX
因為我連線VPN回去時,可以連回去USG LITE 60AX LAN1 底下的設備
但是另外一個,串接在另一個於USG LITE 60AX LAN5底下的卻不通
0 -
你好,
根據你的描述, , 可以交叉測試, 把接在 LAN1 的設備, 試試看接 LAN5 是否有通
因為 LAN1 底下的設備有通, 在設定上就沒問題了.
或者可以檢查看看 LAN5 的設備預設 gateway 是否設定正確
以上建議, 希望有幫助. 謝謝你
YM
看看您今年如何在 Zyxel Community 發揮影響力!
0 -
由於目前人在外,可能要等我本週五晚上回去才能做實體的線路變更了
基本上,LAN1與LAN2部分,都僅是交換機而已
差別在LAN1是有網管功能,LAN5底下的交換機為傻瓜交換機這樣
0 -
你好,
查看一下你 post 的圖片,
LAN1 與 LAN5 底下的設備應該都是同一網段?因為你的規則名稱是 inside
所以小編猜測應該不會是網路設定的問題, 畢竟 LAN1 的設備都可以通了
也可以先查看看 LAN5 底下的設備網段設定是否正確
再來就是分段測試, 先 ping LAN5 的 gateway 是否有通, ping LAN1 的設備是否通
如此測試看看, 應該會有所幫助的
以上建議提供給你參考
YM
看看您今年如何在 Zyxel Community 發揮影響力!
0 -
您好,我的LAN1與LAN5皆為同網段,都在192.168.1.0/24底下
然後LAN5與LAN1的gateway均是USG LITE 60AX此設備192.168.1.1/24
然後不清楚為何只有LAN1交換機管理位置192.168.1.6能連線到,但是神奇的是我的那個網管交換機底下的設備,一樣也無法連線,且無設定任何vlan
然後傻瓜交換機底下設備,皆無法從路由器那邊連線進來,但是USG LITE 60AX設備底下任一設備,皆可直接ping 通路由器底下任何設備,含VPN的連線這樣
0 -
你好,
請你依照下面方法開啟 Zyxel Support, 工程師想看看你的 60AX 介面設定
開啟後請告訴我們, 你的組織與站點名稱
YM
看看您今年如何在 Zyxel Community 發揮影響力!
0 -
您好,已開啟授權Zyxel工程師登入
組織與站點名稱皆為home
0 -
你好,
工程師建議你可以嘗試修改 60AX 的 LAN Interface 上的 IP
因為中華電信小烏龜的LAN IP 也是設定 192.168.1.1 我們猜測是因為 IP 衝突才造成這種奇怪的狀況
以上建議, 請你試試看, 謝謝
YM
看看您今年如何在 Zyxel Community 發揮影響力!
0 -
您好,我的小烏龜部分,是在我路由器的上一層,小烏龜的LAN IP位址一直都是192.168.0.1/24
小烏龜>路由器>USG LITE 60AX
也確認透過vpn連回去的狀態,可以連上小烏龜192.168.0.1與USG LITE 60AX底下的192.168.1.6交換器的管理位置,所以應該不存在您們說的問題
然後我這邊由於有部分IOT設備的存在,無法輕易的變動預設閘道與位置,謝謝
0