faq обучение настройка
Текущее время: Пт мар 29, 2024 02:11

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
 Заголовок сообщения: DFL-870 + DGS3630 + intervlan routing
СообщениеДобавлено: Пн мар 27, 2017 20:11 
Не в сети

Зарегистрирован: Пт окт 14, 2016 18:25
Сообщений: 6
Добрый день!

Ситуация такая: имеется локальная сеть на три десятка вланов. Все вланы заведены в L3 свитч DGS-3630, для каждого влана прописан IP-interface (например vlan10 ip=192.168.10.1, vlan11 ip=192.168.11.1 и т.д.). Маршрутизация между хостами в вланах работает, все друг друга видят, все друг друга пингуют. Теперь хочу, чтобы из каждого влана можно было ходить в интернет. На L3 создаю vlan2 (ip=192.168.1.1) и связываю его аксессом с файерволлом DFL-870 (lan1 ip=192.168.1.2). На L3 свитче прописываю маршрут по умолчанию (0.0.0.0/0.0.0.0 gateway 192.168.1.2). Маршрутизация не работает. С хостов в вланах пинг доходит до L3 свитча (ip=192.168.1.1), а вот файерволла (192.168.1.2) не доходит. Хотя нет. В логах файерволла видно, что клиент ломится, но пакеты дропаются.

Изображение

В чем может быть проблема, уже все перепробовал: и правила отключал, и маршрутов всяких создавал - ничего не получается.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 + DGS3630 + intervlan routing
СообщениеДобавлено: Пн мар 27, 2017 23:12 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Пакеты дропаются дефолтным правилом.
Создайте соответствующее(-ие) разрешающие правила.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 + DGS3630 + intervlan routing
СообщениеДобавлено: Вт мар 28, 2017 10:02 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
MTRX писал(а):
Пакеты дропаются дефолтным правилом.
Создайте соответствующее(-ие) разрешающие правила.

Это означает, что для данного вида трафика у вас не создано явного разрешающего правила и по умолчанию пакеты отвергаются.

Чтобы разрешить пинги всех интерфейсов файрволла надо правило вида

Allow <lan или группа локальных интрефейсов> <lannet или группа локальных сетей> core <группа всех адресов на интерфейсах DFL> Ping-Inbound

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870 + DGS3630 + intervlan routing
СообщениеДобавлено: Вт мар 28, 2017 10:40 
Не в сети

Зарегистрирован: Пт окт 14, 2016 18:25
Сообщений: 6
Решил проблему )). Там, оказывается все намного проще: на DFL-870 не были прописаны маршруты до вланов. Из за этого он не знал куда отправлять ответы, поэтому и дропал входящие пакеты.

вот выдержка из мануала:

The Default Access Rule
Even if the administrator does not explicitly specify any custom Access Rules, an access rule is
always in place which is known as the Default Access Rule.
This default rule is not really a true rule but operates by checking the validity of incoming traffic
by performing a reverse lookup in the NetDefendOS routing tables. This lookup validates that the
incoming traffic is coming from a source that the routing tables indicate is accessible via the
interface on which the traffic arrived. If this reverse lookup fails then the connection is dropped
and a Default Access Rule log message will be generated.
When troubleshooting dropped connections, the administrator should look out for Default
Access Rule messages in the logs. The solution to the problem is to create a route for the interface
where the connection arrives
so that the route's destination network is the same as or contains
the incoming connection's source IP.


Короче, надо было внимательней читать мануал. Всем спасибо за ответы.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 81


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB