Часто встречаются сообщения, в котором спрашивают, что не могут попасть на веб-интерфейс новых шлюзов VPN / ATP / USG Flex по дефолтному 192.168.1.1 из коробки или после сброса. Причин много существует, от простых до нестандартных.
Для облегчения поиска решения проблемы и экономии вашего времени, была создана статья, в которой изложены способы «как попасть на 192.168.1.1» и что препятствует этому.
Побежали!
Мои предыдущие статьи
В конце текста информация обо мне.
Сюрпризы, препятствующие нормальной работе при подключении к шлюзу, такие:
-
Патч-корд
-
Сетевая карта
-
Правильный сброс конфига шлюза
-
Браузер
-
Отключённый веб-сервер
Итак, подключили персональный компьютер (ПК) или ноутбук к LAN порту P4 или P5 шлюза (рис.1),
набираете в браузере 192.168.1.1 и появляется страница с различными ошибками, одна из частых ошибок показана на рис.2, на которой не пускает на 192.168.1.1.
Скриншоты других ошибок не приводил в силу разнообразных ОС, браузеров и их версий. Кратко ограничимся проверками, почему не открылась веб-страница шлюза.
1. Патч-корд
К WAN портам ничего не подключаем. ПК к LAN портам шлюза (P4 или P5) подключаем 4-парным (8-жильным) фирменным патч-кордом категории 5е, обжатый по прямой разводке как на рис.3.
Примечание: некоторые устройства не могли поднять линк по 2-парному (4-жильному) исправному патч-корду, линк поднимался только на 4-парном (8-жильном) патч-корде.
Должна загореться лампочка на порте RJ-45, означающая об успешной установке соединения ПК с портом шлюза.
Режимы работы лампочки:
-
моргает зелёным — порт работает на 10/100 мбит/с и отправляет/принимает трафик;
-
моргает оранжевым — порт работает на 1 гбит/с и отправляет/принимает трафик.
Если лампочка не загорелась, убедитесь, что сетевая карта случайно не отключена, смените патч-корд или ПК или воткните в другой порт шлюза (например, P5).
Отсутствие индикации порта шлюза бывает из-за неисправного патч-корда (не работает контакт №1, 2, 3 или 6 и другие, в зависимости от «умения» сетевой карты работать по другим жилам патч-корда), либо перелом жилы, либо неплотно прилегает к контактам в гнезде RJ-45 ПК или шлюза, либо жилы из неподходящего материала (встречалась витая пара, у неё сопротивление было больше, чем у кабелей CCA). Ещё бывает, что коннекторы RJ-45 запыленные, расстояние между контактами не соответствует положенному (дешёвые коннекторы), недожатость, деформация коннектора или контактов в гнёзде RJ-45 шлюза или ПК, если в них вставляли незаделаные коннекторы RJ-45 или RJ-11. Или сама сетевая карта ПК подглючивает. Вариантов множество. Всё не перечислить.
Примеры коннекторов RJ-45 категории 5е с дефектами, незамеченные с первого раза:
Теперь порты RJ-45 категории 5е. Дефекты тоже не сразу заметили.
На вышеприведённых фотографиях сеть нормально не работала на ПК. Поэтому осмотрите коннекторы и порты, проверьте патч-корд тестером витой пары, и если он прозванивает все его 8 жил, но лампочка не загорается на портах шлюза, возможно порты программно отключены, тогда следуйте к разделу 3 «Правильный сброс конфига шлюза». Если лампочка работает и горит зелёным/оранжевым, но пинга нет, следуйте к разделу 2 «Сетевая карта».
2. Сетевая карта
При условии, что сетевая карта и патч-корд рабочие и работают на предыдущем роутере, коммутаторе, но всё равно нет доступа к 192.168.1.1. Проверим сетевые настройки на сетевой карте. На Windows в командной строке наберём ipconfig /all (в Линукс ifconfig ). Убедимся, что получили:
-
динамический IP 192.168.1.х от DHCP-сервера 192.168.1.1 (если ПК подключён к P4)
или
-
динамический IP 192.168.2.х от DHCP-сервера 192.168.2.1 (если ПК подключён к P5),
где х — это число от 33 до 232.
У некоторых сетевых карт на Windows 10 есть особенность, она не может быстро избавиться от старого динамического IP, полученного от предыдущего роутера и держит его до последнего, даже если отключать и включать сетевую карту, перезагружать и выключать ПК. Поможем ему сбросить старый адрес командами в командной строке:
-
ipconfig /renew
-
ipconfig /release
-
необязательно, но можно ещё раз ввести ipconfig /renew
и ждём 60 секунд. Если ПК динамический IP не получит, поставьте ему статический IP из диапазона 192.168.1.2-192.168.1.254, например, 192.168.1.5 (если ПК воткнут в P4). Если ПК воткнут в P5, тогда поставьте IP из диапазона 192.168.2.2-192.168.2.254 . В обоих случаях маска подсети 255.255.255.0 (рис.12). Остальные поля оставляем пустыми.
Пропингуйте 192.168.1.1 (или 192.168.2.1). Если пинга не будет, наберите в командной строке команду arp -a. МАК-адрес шлюза есть в вашем списке? Если есть (рис.13), значит шлюз кем-то был настроен и файрволл не пускает ПК к веб-интерфейсу шлюза.
Если шлюз ваш, переходите к разделу 3 «Правильный сброс конфига шлюза» 🙂 Если в списке нет МАК-адреса шлюза (рис.14), значит ПК не находит шлюз.
Причиной могут быть:
-
неправильные настройки сетевой карты. В зависимости от вендора, убедитесь, что у неё в настройках VLAN ID выставлен «1» или «default» или «отключен» или переустановите драйверы, чтобы сбросить в ней все случайные настройки на новые «По умолчанию».
-
виртуальный коммутатор, устанавливается вместе с ПО для работы с виртуальными ОС. Возможно трафик уходит на виртуальные подсети, если адресное пространство совпало с шлюзом.
-
виртуальный коммутатор, может не позволить менять настройки в обычной сетевой карте.
-
много других причин, проще сменить ПК на попроще, с минимумом софта.
Если после последнего пункта шлюз всё равно не пингуется, переходите к разделу 3 «Правильный сброс шлюза».
3. Правильный сброс конфига шлюза
Разделы 1 «Патч-корд» и 2 «Сетевая карта» выполнены, а 192.168.1.1 (или 192.168.2.1) не открывается, не пингуется и МАК-адрес не появляется в таблице МАК-адресов, возможно устройство ранее было настроено и установлен другой IP.
Убедитесь, что WAN (P1, P2, P3) порты никуда не подключены и сбросьте шлюз в дефолтное состояние.
Примечание: у каждого вендора своя процедура сброса устройства в дефолтное состояние. У одного вендора кнопку RESET нужно придерживать не менее 30 сек, у другого 10 сек.
У Zyxel VPN / ATP/ USG Flex такая процедура:
-
Убедитесь, что индикатор SYS включён и не мигает.
-
Нажмите кнопку RESET и удерживайте её, пока индикатор SYS не начнёт мигать. (Обычно это занимает около пяти секунд).
-
Отпустите кнопку RESET и дождитесь перезагрузки устройства Zyxel.
Вернитесь в раздел 2 «Сетевая карта» и попробуйте заново подключиться к шлюзу. Если по-прежнему нет пинга и не отображается МАК-адрес шлюза, обратитесь в официальную техподдержку Zyxel.
Примечание: если шлюз раньше был в облачном управлении Небула и оттуда не удалялся, при первом получении интернета с WAN портов, он примет облачные настройки и веб-интерфейс будет урезанным для автономного управления.
Поэтому, для дальнейшей работы со шлюзом в автономном режиме, его необходимо заранее удалить из Небулы и он сам сбросит конфиг на дефолтные настройки.
4. Браузер
Шлюз пингуется, но не пускает на веб-страницу шлюза? Решение проблемы (KB-4888) в базе знаний Zyxel опубликовал Thorsten Lingen.
Либо временно воспользуйтесь браузером Мозилла версии до 52.9.0.
5. Отключённый веб-сервер
Бывает, что на 192.168.1.1 не заходит из-за отключённого веб-сервера. Узнать статус HTTP веб-сервера можно командой (рис.15) в CLI (по консольному порту или SSH):
-
show ip http server status
Для HTTPS (рис.16):
-
show ip http server secure status
Включение HTTP сервера производится командой (рис.15):
-
ip http server
Включение HTTPS сервера (рис.16):
-
ip http secure-server
Сохранение текущей конфигурации шлюза производится командой
-
write
Попробуйте снова подключиться к http://192.168.1.1. Должна загрузиться веб-страница (рис.17).
Примечание: если набирать с https (https://192.168.1.1), браузер предупредит о недействительном сертификате.
Попали на веб-страницу шлюза? Отлично!
Об авторе:
Кто я? Меня зовут Александр. Профессионально занимаюсь СКС и сетевым оборудованием 16 лет. Больше времени провожу с СКС (монтаж, обслуживание), чем с настройкой сетевого оборудования, поэтому на настройки времени особо нет, но получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в Телеграме — @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.
Полезные ссылки:
-
Русскоязычная документация на контроллеры точек доступа Zyxel с функцией межсетевого экрана http://download.from.Zyxel.ru/e2a9ef2c-8a04-4531-99ac-723ae068c44e/NXC2500_NXC5500_V4.10_UG-Rus.pdf
-
Новостной канал в Telegram — https://t.me/zyxel_news
-
Телеграм-чат поддержки для специалистов — https://t.me/zyxelru
-
Форум для специалистов — https://community.zyxel.com/ru/categories
-
Свежие новости в FaceBook — https://www.facebook.com/Zyxel.Russia
-
Полезные и интересные статьи в блоге Zyxel на Хабре — https://habr.com/company/zyxel
-
Наш YouTube — https://www.youtube.com/channel/UCcNN2UCEz1e49PEaAisN5ow
-
Реализованные проекты — https://www.zyxel.com/ru/ru/solutions/success_stories_list.shtml
-
Виртуальная лаборатория — https://support.zyxel.eu/hc/ru/sections/360001858040
-
Удалённый стенд — https://support.zyxel.eu/hc/ru/articles/360014708840
-
Мастер выбора оборудования — select.zyxel.ru
-
Центр обучения Zyxel — https://academy.zyxel.eu/zcne-ru
ссылка на оригинал статьи https://habr.com/ru/articles/586320/
Добавить комментарий