USG LITE 60AX防火牆設置問題

2

All Replies

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 179  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    您好,

    根據提供的資訊,因為您可以透過vpn連回去的狀態,可以連上小烏龜192.168.0.1與USG LITE 60AX底下的192.168.1.6交換器的管理位置,初步判斷 WAN 到 USG 60AX 這段設定應該是沒問題的。

    為了更有效地協助您解決網路問題,我們需要進一步了解您的網路架構。

    能否請您協助提供以下資訊呢?

    網路拓撲圖: 可以簡單繪製一張圖示,標示出您家中網路設備的連接方式,例如數據機、路由器、交換器等等,並在每個設備旁註明其 IP 位址。

    路由器的路由表: 可以登入路由器的管理介面,找到路由表設定頁面,將截圖提供給我們。

    這些資訊可以幫助我們更快找出問題所在,並提供建議。

    希望以上建議對您有幫助!

    P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷

  • HAHAHA
    HAHAHA 文章數: 14  Freshman Member
    First Comment Friend Collector
    已編輯 11月 17 日

    圖1為RB5009UG+S+路由器的路由表,與IP地址

    圖2為我家中網路圖,小米路由器IP部分,由於小米app因USG 60AX無法連回去進行設定,所以無法查看當前IP位址,但是可以排除此設備問題,未接上USG 60AX前,設定為bridge模式,然後也有試著從交換器拔除,一樣也是無法從VPN連回家中設備如NAS等

    (交換器底下僅有VLAN 1)

    圖1

    圖2

    本週回來直接把家中網路改成這樣,基本上把故障也減到最少了,一樣目前狀況就是剩華為交換機VLAN1地址能連線到,其餘都不行,透過VPN連回去連線NAS(192.168.1.111)等設備都ping超時,含ASUS路由器等也是ping超時

    (交換器無配置任何ACL禁用規則、交換器有啟用全域DHCP snooping、交換機僅有VLAN 1,交換機有設置一條預設路由0.0.0.0 0.0.0.0 指向USG 60AX的內網位址192.168.1.1)

    這邊附上我從VPN連到路由器,tracert我NAS(192.168.1.111)及交換機管理位址(192.168.1.2)狀況

  • HAHAHA
    HAHAHA 文章數: 14  Freshman Member
    First Comment Friend Collector
    已編輯 11月 17 日

    對了,上面的網路圖,僅是劃出個大概主要的路由設備,其他的NAS、IP CAM、NVR等Clinet設備就沒逐一畫出來了,要不然真的太累了

    不想下班休息還來畫這東西…🤪

    然後在附上透過蜂窩網路VPN(wireguard)回去,tracert NAS(192.168.1.111)跟華為交換器(192.168.1.2)結果

  • HAHAHA
    HAHAHA 文章數: 14  Freshman Member
    First Comment Friend Collector
    已編輯 11月 17 日

    然後剛剛嘗試測試VPN連回去,可以連到交換機底下的ipcam

    於是在USG AX60新增一條靜態路由,192.168.1.0/24 指向交換機位址192.168.1.2這樣,方便tracert做判斷

    從蜂窩網路連回去IPCAM(192.168.1.60)的tracert狀況

    然後這是tracert我底下ASUS AP(192.168.1.4)的狀況,一樣交換機有回應,但是ASUS AP的封包無法回應這樣(ASUS AP與交換器的狀態是網線直連,無任何中轉設備)

    然後試著從家中路由器RB5009UG+S+去PING USG AX60底下設備,目前還是一樣只有交換機192.168.1.2與ipcam 192.168.1.60有回應這樣,ping ASUS AP一樣也是顯示超時這樣

    路由器tracert結果也與上面蜂窩網路狀況一樣

    ASUS AP

    IP CAM

    然後試著精簡線路從USG 60AX底下,一條網線直連ASUS AP(192.168.1.4),並且USG 60AX的LAN1-5無接任何其他設備,就僅ASUS AP一個設備

    這樣去嘗試,一樣還是連不到ASUS AP,不論從RB5009UG+S+這台路由器去PING,或是VPN連回來PING都是一樣不會通,tracert結果與上面一樣!

    然後IP CAM(192.168.1.60)精簡到這樣一樣是通的,也不知哪裡出問題....🤔

    從上面可以很確定問題真的出在USG AX60上面…

    是需要在做甚麼設定嗎?

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 179  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    感謝你提供非常詳盡的架構圖, 路由表與測試結果,

    我們這邊先研究一下, 有消息會再說明.

    另外, 關於你最後的精簡化架構測試

    1. USG 60AX 防火牆底下,只有 LAN5 埠連一條網路線直接連接到 ASUS AP (IP 位址為 192.168.1.4)。不論是從 RB5009UG+S+ 這台路由器 ping ASUS AP 的 IP 位址,或是透過 VPN 連線回來 ping,都無法ping通
    2. IP CAM(192.168.1.60)的接法是 USG 60AX 的 LAN5 port 也是直接 IP CAM 忽略 POE 供電設備. 這樣一樣是通的 !!

    以上我的理解正確嗎?

    P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷

  • HAHAHA
    HAHAHA 文章數: 14  Freshman Member
    First Comment Friend Collector
    已編輯 11月 18 日

    是的沒錯,然後VPN Wireguard部分,是設定在RB5009UG+S+路由器上

    在請幫忙技術指導下

    因為能設的靜態路由都設定完了,防火牆規則也沒特別設定拒絕清單,不知道USG 60AX問題在哪

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 179  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    工程師建議要利用 NAT 的方式, 建立 NAT 是因為 USG 60AX 出外網會轉成 WAN IP 出去, 所以造成不通

    請前往以下位置設定 NAT

    Configure > Security router > Firewall

    P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷

  • HAHAHA
    HAHAHA 文章數: 14  Freshman Member
    First Comment Friend Collector

    您好,請問我這樣NAT設置是正確的嗎?

    我這樣設定完後,VPN連回去到路由器,連線USG 60AX的WAN IP位址10.10.10.2,並沒有轉到我的ASUS AP(192.168.1.4)上

    且如果要NAT方式,才能設定成功的話,那為何192.168.1.2與192.168.1.60能連線呢?

  • zyxel_bo
    zyxel_bo 文章數: 125  Zyxel Employee
    25 Answers First Comment Friend Collector Second Anniversary
    答覆✓

    @HAHAHA 您好,感謝您提供的架構圖~

    從提供的圖片來看ASUS(192.168.1.4)應該是接在LAN孔,並且如果是從Mikrotik路由過來(192.168.3.0/24)
    那可能ASUS 需要再關閉本身的防火牆,並且需要設定Static Route.
    可參考ASUS 的範例(https://www.asus.com/tw/support/faq/1011706/)

    至於NAS 也有可能關閉Ping 的服務或是不允許不同網段的連線,建議也先關閉防火牆看看.
    因為目前從60AX 的lan 介面ping NAS 192.168.1.111就沒有回應.

    以上提供參考測試~

  • HAHAHA
    HAHAHA 文章數: 14  Freshman Member
    First Comment Friend Collector

    了解,確實我忽略了這些設定可能會導致無法正常回應ping封包

    我本週五回去再試著調整看看

    如果狀況依舊在與您做討論