USG LITE 60AX防火牆設置問題
All Replies
-
您好,
根據提供的資訊,因為您可以透過vpn連回去的狀態,可以連上小烏龜192.168.0.1與USG LITE 60AX底下的192.168.1.6交換器的管理位置,初步判斷 WAN 到 USG 60AX 這段設定應該是沒問題的。
為了更有效地協助您解決網路問題,我們需要進一步了解您的網路架構。
能否請您協助提供以下資訊呢?
網路拓撲圖: 可以簡單繪製一張圖示,標示出您家中網路設備的連接方式,例如數據機、路由器、交換器等等,並在每個設備旁註明其 IP 位址。
路由器的路由表: 可以登入路由器的管理介面,找到路由表設定頁面,將截圖提供給我們。
這些資訊可以幫助我們更快找出問題所在,並提供建議。
希望以上建議對您有幫助!
P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷
0 -
圖1為RB5009UG+S+路由器的路由表,與IP地址
圖2為我家中網路圖,小米路由器IP部分,由於小米app因USG 60AX無法連回去進行設定,所以無法查看當前IP位址,但是可以排除此設備問題,未接上USG 60AX前,設定為bridge模式,然後也有試著從交換器拔除,一樣也是無法從VPN連回家中設備如NAS等
(交換器底下僅有VLAN 1)
圖1
圖2
本週回來直接把家中網路改成這樣,基本上把故障也減到最少了,一樣目前狀況就是剩華為交換機VLAN1地址能連線到,其餘都不行,透過VPN連回去連線NAS(192.168.1.111)等設備都ping超時,含ASUS路由器等也是ping超時
(交換器無配置任何ACL禁用規則、交換器有啟用全域DHCP snooping、交換機僅有VLAN 1,交換機有設置一條預設路由0.0.0.0 0.0.0.0 指向USG 60AX的內網位址192.168.1.1)
這邊附上我從VPN連到路由器,tracert我NAS(192.168.1.111)及交換機管理位址(192.168.1.2)狀況
0 -
對了,上面的網路圖,僅是劃出個大概主要的路由設備,其他的NAS、IP CAM、NVR等Clinet設備就沒逐一畫出來了,要不然真的太累了
不想下班休息還來畫這東西…🤪
然後在附上透過蜂窩網路VPN(wireguard)回去,tracert NAS(192.168.1.111)跟華為交換器(192.168.1.2)結果
0 -
然後剛剛嘗試測試VPN連回去,可以連到交換機底下的ipcam
於是在USG AX60新增一條靜態路由,192.168.1.0/24 指向交換機位址192.168.1.2這樣,方便tracert做判斷
從蜂窩網路連回去IPCAM(192.168.1.60)的tracert狀況
然後這是tracert我底下ASUS AP(192.168.1.4)的狀況,一樣交換機有回應,但是ASUS AP的封包無法回應這樣(ASUS AP與交換器的狀態是網線直連,無任何中轉設備)
然後試著從家中路由器RB5009UG+S+去PING USG AX60底下設備,目前還是一樣只有交換機192.168.1.2與ipcam 192.168.1.60有回應這樣,ping ASUS AP一樣也是顯示超時這樣
路由器tracert結果也與上面蜂窩網路狀況一樣
ASUS AP
IP CAM
然後試著精簡線路從USG 60AX底下,一條網線直連ASUS AP(192.168.1.4),並且USG 60AX的LAN1-5無接任何其他設備,就僅ASUS AP一個設備
這樣去嘗試,一樣還是連不到ASUS AP,不論從RB5009UG+S+這台路由器去PING,或是VPN連回來PING都是一樣不會通,tracert結果與上面一樣!
然後IP CAM(192.168.1.60)精簡到這樣一樣是通的,也不知哪裡出問題....🤔
從上面可以很確定問題真的出在USG AX60上面…
是需要在做甚麼設定嗎?
0 -
你好,
感謝你提供非常詳盡的架構圖, 路由表與測試結果,
我們這邊先研究一下, 有消息會再說明.
另外, 關於你最後的精簡化架構測試
- USG 60AX 防火牆底下,只有 LAN5 埠連一條網路線直接連接到 ASUS AP (IP 位址為 192.168.1.4)。不論是從 RB5009UG+S+ 這台路由器 ping ASUS AP 的 IP 位址,或是透過 VPN 連線回來 ping,都無法ping通
- IP CAM(192.168.1.60)的接法是 USG 60AX 的 LAN5 port 也是直接 IP CAM 忽略 POE 供電設備. 這樣一樣是通的 !!
以上我的理解正確嗎?
P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷
0 -
是的沒錯,然後VPN Wireguard部分,是設定在RB5009UG+S+路由器上
在請幫忙技術指導下
因為能設的靜態路由都設定完了,防火牆規則也沒特別設定拒絕清單,不知道USG 60AX問題在哪
0 -
你好,
工程師建議要利用 NAT 的方式, 建立 NAT 是因為 USG 60AX 出外網會轉成 WAN IP 出去, 所以造成不通
請前往以下位置設定 NAT
Configure > Security router >Firewall
P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷
0 -
您好,請問我這樣NAT設置是正確的嗎?
我這樣設定完後,VPN連回去到路由器,連線USG 60AX的WAN IP位址10.10.10.2,並沒有轉到我的ASUS AP(192.168.1.4)上
且如果要NAT方式,才能設定成功的話,那為何192.168.1.2與192.168.1.60能連線呢?
0 -
@HAHAHA 您好,感謝您提供的架構圖~
從提供的圖片來看ASUS(192.168.1.4)應該是接在LAN孔,並且如果是從Mikrotik路由過來(192.168.3.0/24)
那可能ASUS 需要再關閉本身的防火牆,並且需要設定Static Route.
可參考ASUS 的範例(https://www.asus.com/tw/support/faq/1011706/)至於NAS 也有可能關閉Ping 的服務或是不允許不同網段的連線,建議也先關閉防火牆看看.
因為目前從60AX 的lan 介面ping NAS 192.168.1.111就沒有回應.以上提供參考測試~
0 -
了解,確實我忽略了這些設定可能會導致無法正常回應ping封包
我本週五回去再試著調整看看
如果狀況依舊在與您做討論
0
Zyxel Employee
Freshman Member
