kiến thức Máy trong cùng 1 hệ thống, không ping được desination ip tĩnh T__T

L

luongdono

Junior Member
Lại là em đây a, sau mấy ngày mày mò và nhờ giúp đỡ em đã settup được 1 mạng như sau:
Em ko giỏi vẽ nên em xin miêu tả bằng lời:

Network đã config:
Router: juniper có 7 cổng vật lý thì
  • Cổng 2 cắm từ cái cục fpt vào - đã config front ip.
  • Cổng 6 cắm vào cục switch, chia ra các mạng trong dải nội bộ: 192.168.1.1
  • Cổng 7 cắm vào cái server local, dải ip nội bộ là: 192.168.9.1 ( con máy này em đang để là 192.168.9.2 )

Hiện tại em đã config NAT:
  • Source NAT: từ cả dải 192.168.1.1 và 192.168.9.1 đều có mạng, ping internet ok
  • Destination NAT: Em config để bên ngoài ping và ssh qua ip 42.xxx.xx.122 vào con máy 192.168.9.2.

Em cũng mày mò thêm để config vlan để 2 mạng nội bộ ping ssh được qua nhau rồi ( 192.168.1.1 và 192.168.9.1 )

Nhưng em không tìm được cách nào để máy trong dải nội bộ 192.168.1.1 ping hay ssh được 42.xxx.xx.122.

VD:
- em xài mạng FPT 1, ở máy có dải nội bộ là 192.168.1.30:
  • em ssh và ping được 192.168.9.2 ( config qua vlan )
  • em ko ssh và ping đc 42.xxx.xx.122 ( không hiểu ) :cry:

- em đổi sang mạng vnpt:
  • em ssh và ping đc 42.xxx.xx.122 ( ngon lành )
  • em không ssh và ping được 192.168.9.2 ( cái này thì em hiểu )

Hiện tại còn vấn đề cuối là e ở mạng fpt không tài nào ping đc con 42.xxx.xx.122.
Theo logic thì mạng ngoài còn ping được, sao mạng trong lại ko đc ~~, khó hiểu.
Bác nào chỉ hướng em cần config thêm gì không ạ T___T
 
Ju thì làm kiểu này để chạy Hairpin NAT, mấy lan nằm trong zone trust (port 6, 7), untrust là internet (port 2), lưu ý cái policy untrust to trust đang để any, nếu biết được toàn bộ service nat thì sửa lại thành các service cần thiết
Code: 
security {

    nat {

        static {

            rule-set Internet {

                from zone untrust;

                rule ssh {

                    match {

                        destination-address <IP_Public>/32;

                        destination-port 22;

                    }

                    then {

                        static-nat {

                            prefix {

                                192.168.9.2/32;

                                mapped-port 22;

                            }

                        }            

                    }

                }

    policies {                        

        from-zone trust to-zone untrust {

            policy trust-untrust {

                match {

                    source-address any;

                    destination-address any;

                    application any;

                }

                then {

                    permit;

                }

            }

        }

        from-zone untrust to-zone trust {

            policy NAT {

                match {

                    source-address any;

                    destination-address any;

                    application any;

                }

                then {

                    permit;

                }

            }                        

        }

        from-zone trust to-zone trust {

            policy permit {

                match {

                    source-address any;

                    destination-address any;

                    application any;

                }

                then {

                    permit;

                }

            }

        }

    }
 
@@ Bác có thể miêu tả kĩ hơn được ko ạ.

Tức hiện tại em tạo ra 1 zone mới tên là Zone-A ( zone này sẽ bao 2 interfaces 6-7 )

sau đó gán policy cho nó phải không ạ, còn bước nào khác không ạ, em làm theo mà vẫn ko đc T__T.

Em có thể ssh 2 mạng nội bộ, nhưng xài ssh cái public ip kia thì ko được ạ.

Hiện tại thì em chưa có cái zone nào bao 2 cổng kia đâu ạ.
Mà em dùng vlan1 bao cổng 6, vlan2 bao cổng 7. Sau đó tạo 2 zone theo vlan.
 
Bác trên kia chỉ đúng rồi đó. Vấn đề bây giờ bạn đọc xem Hairpin NAT bản chất là gì, cơ chế hoạt động như thế nào. Sau khi hiểu rồi thì đọc cách áp dụng cho Juniper/ Junos. Chưa hiểu thì chưa làm được đâu.
 
Cấu hình hiện tại của bạn: Vlan 1 port 6, zone này mình tạm gọi luôn là zone vlan 1
tương tự vlan 2 port 7, zone vlan 2.
Cổng 2 bạn đưa vào zone untrust, hoặc zone X gì cũng được (nếu internet là pppoe thì phải đưa interface pp0.0 vào zone X, hoặc interface nào có ip public, muốn xem thì cứ show interface terse)
Bạn cấu hình theo thứ tự từ 1 đến 1, cái nào trong dấu <...> tức là bạn thay tên cho khớp với cấu hình hiện tại của bạn. Trước khi cấu hình gì thì lưu lại cấu hình cũ còn rollback.
1. Policy như sau:
Zone vlan 1 --> Zone vlan 2: permit
Zone vlan 2 --> Zone vlan 1: permit
Zone vlan 1 --> Zone X: Permit
Zone vlan 2 --> Zone X: Permit
Code thì dạng ntn, làm cho cả 4 policy trên
Code: 
set security policies from-zone <ZoneA> to-zone <ZoneB> policy <A-B> match source-address any
set security policies from-zone <ZoneA> to-zone <ZoneB> policy <A-B> match destination-address any
set security policies from-zone <ZoneA> to-zone <ZoneB> policy <A-B> match application any
set security policies from-zone <ZoneA> to-zone <ZoneB> policy <A-B> then permit
2. Permit internet (NAT) cho zone vlan 1 và zone vlan 2, nếu vlan 2 ko cần ra internet thì bỏ
Code: 
set security nat source rule-set src-nat from zone <zone vlan 1>
set security nat source rule-set src-nat to zone <zone X>
set security nat source rule-set <tên rule> rule <1> match source-address <ip dải lan 1>
set security nat source rule-set <tên rule> rule <1> match destination-address 0.0.0.0/0
set security nat source rule-set <tên rule> rule <1> then source-nat interface
set security nat source rule-set src-nat from zone <zone vlan 2>
set security nat source rule-set src-nat to zone <zone X>
set security nat source rule-set <tên rule> rule <1> match source-address <ip dải lan 2>
set security nat source rule-set <tên rule> rule <1> match destination-address 0.0.0.0/0
set security nat source rule-set <tên rule> rule <1> then source-nat interface
3. Port forwarding, làm mẫu cho port ssh (22), map vào ip 192.168.9.2 port 22 nốt
Code: 
set security nat static rule-set <Internet> from zone <zone X>
set security nat static rule-set <Internet> rule <ssh> match destination-address <IP public/32>
set security nat static rule-set <Internet> rule <ssh> match destination-port 22
set security nat static rule-set <Internet> rule <ssh> then static-nat prefix <192.168.9.2/32>
set security nat static rule-set <Internet> rule <ssh> then static-nat prefix mapped-port 22
4. Tạo rule cho phép từ ngoài có thể vào được vùng nội bộ server để cái rule port forwarding hoạt động, mình hiện để service any, muốn bảo mật thì bạn đổi thành các service cần nat port
Code: 
set security policies from-zone <Zone X> to-zone <Zone vlan 2> policy NAT match source-address any
set security policies from-zone <Zone X> to-zone <Zone vlan 2> policy NAT match destination-address any
set security policies from-zone <Zone X> to-zone <Zone vlan 2> policy NAT match application any
set security policies from-zone <Zone X> to-zone <Zone vlan 2> policy NAT then permit

Nếu bạn ko tự tin thì up hoặc inbox cấu hình hiện tại của bạn vào đây, rảnh mình xem cho
 
Thank bác em làm được rồi ạ :D, em thêm 1 destination nat, match source với cái cổng kia là được.
XD cảm ơn các bác nhiều.
 
chacuavip10 said:
Cấu hình hiện tại của bạn: Vlan 1 port 6, zone này mình tạm gọi luôn là zone vlan 1
tương tự vlan 2 port 7, zone vlan 2.
Cổng 2 bạn đưa vào zone untrust, hoặc zone X gì cũng được (nếu internet là pppoe thì phải đưa interface pp0.0 vào zone X, hoặc interface nào có ip public, muốn xem thì cứ show interface terse)
Bạn cấu hình theo thứ tự từ 1 đến 1, cái nào trong dấu <...> tức là bạn thay tên cho khớp với cấu hình hiện tại của bạn. Trước khi cấu hình gì thì lưu lại cấu hình cũ còn rollback.
1. Policy như sau:
Zone vlan 1 --> Zone vlan 2: permit
Zone vlan 2 --> Zone vlan 1: permit
Zone vlan 1 --> Zone X: Permit
Zone vlan 2 --> Zone X: Permit
Code thì dạng ntn, làm cho cả 4 policy trên
Code: 
set security policies from-zone <ZoneA> to-zone <ZoneB> policy <A-B> match source-address any
set security policies from-zone <ZoneA> to-zone <ZoneB> policy <A-B> match destination-address any
set security policies from-zone <ZoneA> to-zone <ZoneB> policy <A-B> match application any
set security policies from-zone <ZoneA> to-zone <ZoneB> policy <A-B> then permit
2. Permit internet (NAT) cho zone vlan 1 và zone vlan 2, nếu vlan 2 ko cần ra internet thì bỏ
Code: 
set security nat source rule-set src-nat from zone <zone vlan 1>
set security nat source rule-set src-nat to zone <zone X>
set security nat source rule-set <tên rule> rule <1> match source-address <ip dải lan 1>
set security nat source rule-set <tên rule> rule <1> match destination-address 0.0.0.0/0
set security nat source rule-set <tên rule> rule <1> then source-nat interface
set security nat source rule-set src-nat from zone <zone vlan 2>
set security nat source rule-set src-nat to zone <zone X>
set security nat source rule-set <tên rule> rule <1> match source-address <ip dải lan 2>
set security nat source rule-set <tên rule> rule <1> match destination-address 0.0.0.0/0
set security nat source rule-set <tên rule> rule <1> then source-nat interface
3. Port forwarding, làm mẫu cho port ssh (22), map vào ip 192.168.9.2 port 22 nốt
Code: 
set security nat static rule-set <Internet> from zone <zone X>
set security nat static rule-set <Internet> rule <ssh> match destination-address <IP public/32>
set security nat static rule-set <Internet> rule <ssh> match destination-port 22
set security nat static rule-set <Internet> rule <ssh> then static-nat prefix <192.168.9.2/32>
set security nat static rule-set <Internet> rule <ssh> then static-nat prefix mapped-port 22
4. Tạo rule cho phép từ ngoài có thể vào được vùng nội bộ server để cái rule port forwarding hoạt động, mình hiện để service any, muốn bảo mật thì bạn đổi thành các service cần nat port
Code: 
set security policies from-zone <Zone X> to-zone <Zone vlan 2> policy NAT match source-address any
set security policies from-zone <Zone X> to-zone <Zone vlan 2> policy NAT match destination-address any
set security policies from-zone <Zone X> to-zone <Zone vlan 2> policy NAT match application any
set security policies from-zone <Zone X> to-zone <Zone vlan 2> policy NAT then permit

Nếu bạn ko tự tin thì up hoặc inbox cấu hình hiện tại của bạn vào đây, rảnh mình xem cho
Click to expand...
Mình cũng hay làm juniper mà chưa nat bao giờ cấu BGP, VLAN, trunk,Qos. cái NAT config 1 cái mà nhiều dòng quá ta. Mấy cái này xài mấy con mikrotik cho nó đơn giản
 
Không may thành F1 nên bị ở nhà. Rảnh rang mua đồ về nghịch, tiện thể "nâng đời" thiết bị mạng trong nhà.
Set đồ đang có là router kiêm firewall Fortigate => switch Juniper EX2200 => một mớ AP Aerohive.
Nhu cầu cũng khá đơn giản là có mạng 3 wifi riêng:
1. Cho người trong nhà có bảo mật tốt, xem được camera.
2. Cho thiết bị IoT & camera an ninh được bảo mật tốt và cách ly khỏi khách.
3. Cho khách, chỉ dùng được internet.

Mớ camera, AP cắm vào cái switch POE cho gọn gàng.

Mày mò cái VLAN mà muốn điên đầu, thông được cái nọ thì tắc cái kia. Nên post lên đây nhờ anh em cao thủ nếu may mắn cùng set đồ + cùng nhu cầu thì chia sẻ cho mình chút kinh nghiệm hoặc cấu hình.
 
DHD said:
Không may thành F1 nên bị ở nhà. Rảnh rang mua đồ về nghịch, tiện thể "nâng đời" thiết bị mạng trong nhà.
Set đồ đang có là router kiêm firewall Fortigate => switch Juniper EX2200 => một mớ AP Aerohive.
Nhu cầu cũng khá đơn giản là có mạng 3 wifi riêng:
1. Cho người trong nhà có bảo mật tốt, xem được camera.
2. Cho thiết bị IoT & camera an ninh được bảo mật tốt và cách ly khỏi khách.
3. Cho khách, chỉ dùng được internet.

Mớ camera, AP cắm vào cái switch POE cho gọn gàng.

Mày mò cái VLAN mà muốn điên đầu, thông được cái nọ thì tắc cái kia. Nên post lên đây nhờ anh em cao thủ nếu may mắn cùng set đồ + cùng nhu cầu thì chia sẻ cho mình chút kinh nghiệm hoặc cấu hình.
Click to expand...
Trước mình có dùng qua forti 60d, hiện tượng camera kéo từ xa về lưu vào nas bị hiện tượng camera khi xem live thì lúc có hình, lúc bị nhòe xem không rõ rồi lại bình thường, rồi lại nhòe lại. Mình có thay pfsense vào thì không bị tình trạng trên. Nas ở vlan riêng. Không biết bác có bị như vậy không?
 

Similar threads

A
thắc mắc Tư vấn setup hệ thống mạng tại nhà
Replies
18
Views
577
hetien
hetien
N
TQ Lenovo Thinkpad T480S US em về được chục con giá mùa ế ạ
2
Replies
25
Views
1K
numberonepc
N
Hoai cmn Linh
'Cỗ máy' cờ bạc online nghìn tỷ vận hành thế nào
2 3 4
Replies
77
Views
8K
theoluat
theoluat
C
thắc mắc Thắc mắc không truy cập được Proxmox trên wifi mesh 5GHz
Replies
11
Views
572
CrkerX
C
hoidabunko
đánh giá Review thực tế Router + Firewall Zyxel SCR 50AXE
Replies
0
Views
1K
hoidabunko
hoidabunko

Share this page

Back
Top