faq обучение настройка
Текущее время: Ср май 22, 2019 06:30

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
СообщениеДобавлено: Пн май 13, 2019 10:16 
Не в сети

Зарегистрирован: Ср мар 06, 2019 06:46
Сообщений: 5
Здравствуйте, товарищи форумчане. Помогите пожалуйста разобраться с задачкой.

Дано:
1. Центральный офис (HQ) с хорошим, годным интернет-каналом.
2. Филиал (IAS), с блокируемыми на уровне провайдера соцсетями.
На обоих узлах стоят DFL-870, проброшен IPSec-туннель, соединяющий локалки hq_LAN (192.168.0.0/23) и ias_LAN (192.168.4.0/22)
Теперь задача: часть трафик, идущий с филиала на адреса фейсбука перенаправить в туннель, чтобы соединение с ними проходило через неблокируемый интернет-канал центрального офиса.

Что было сделано:
1. Создал альтернативную таблицу маршрутизации на филиале:
Код:
Routing table: through-HQ
Flags  Network            Iface          Gateway         Local IP        Metric
------ ------------------ -------------- --------------- --------------- ------
       192.168.0.0/23     hq-tunnel                                      100
       192.168.4.0/22     lan1                                           100
       0.0.0.0/0          hq-tunnel      192.168.0.4                     90

[/code]
2. Создал правило, заруливающее в неё трафик для определенного списка адресов:
Код:
Device:/> show RoutingRule 1(Facebook-through-HQ)

              Property  Value
 ---------------------  ---------------------------
                Index:  1
                 Name:  Facebook-through-HQ
  ForwardRoutingTable:  through-HQ
   ReturnRoutingTable:  through-HQ
        SourceNetwork:  InterfaceAddresses/lan1_net
   DestinationNetwork:  facebook/Facebook
      SourceInterface:  lan1
 DestinationInterface:  wan1
              Service:  all_tcpudpicmp
             Schedule:  <empty>
           LogEnabled:  Yes
          LogSeverity:  Default
             Comments:  <empty>

3. Создал разрешающую политику:
Код:
 Property  Value
 -------------------------  ---------------------------
                    Index:  5
                     Name:  Facebook-through-HQ
                   Action:  Allow
 SourceAddressTranslation:  None
   DestAddressTranslation:  None
               AppControl:  No
          SourceInterface:  lan1
     DestinationInterface:  hq-tunnel
            SourceNetwork:  InterfaceAddresses/lan1_net
       DestinationNetwork:  facebook/Facebook
          SourceGeoFilter:  <empty>
     DestinationGeoFilter:  <empty>
                  Service:  all_tcpudpicmp
                 Schedule:  <empty>
               LogEnabled:  Yes
              LogSeverity:  Default
                 Comments:  <empty>

4. Создал NAT-политику на центральном офисе:
Код:
Property  Value
 --------------------------  -------------------------------------------
                     Index:  3
                      Name:  ias-to-inet
                    Action:  Allow
  SourceAddressTranslation:  NAT
    NATSourceAddressAction:  OutgoingInterfaceIP (Outgoing Interface IP)
    DestAddressTranslation:  None
                 AntiVirus:  No
                WebControl:  No
               FileControl:  No
                AppControl:  No
            HTTPInspection:  No
 HTTPAllowUnknownProtocols:  No
           SourceInterface:  ias-tunnel
      DestinationInterface:  any
             SourceNetwork:  IPSec/ias_LAN
        DestinationNetwork:  all-nets
           SourceGeoFilter:  <empty>
      DestinationGeoFilter:  <empty>
                   Service:  http-all
                  Schedule:  <empty>
                LogEnabled:  Yes
               LogSeverity:  Default
                  Comments:  <empty>


В итоге, в логах филиала вижу, что пакеты уходят в туннель, но в логах центрального офиса пусто, соединение не проходит. Что я делаю не так?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн май 13, 2019 12:20 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7160
Откуда: Екатеринбург
не хочу углубляться в вашу задачу.

Но вам надо иметь ввиду, что через ipsec канал пойдут только пакеты с допустимыми адресами.

Поэтому, чтобы иметь полную свободу действий, надо IPsec канал поднимать для all-nets со стороны HQ. А остальное рулить маршрутизацией и, если понадобится, PBR.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 14, 2019 09:09 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8857
Откуда: Москва
viewtopic.php?f=3&t=174887

Юр . не надо углубляться - все давно написал уже ....
темы такие конечно всплывают реже - но все равно всплывают

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 14, 2019 10:57 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8449
Откуда: Москва
Ravenordm писал(а):
4. Создал NAT-политику на центральном офисе:
Код:
Property  Value
 --------------------------  -------------------------------------------
      ......................................
      DestinationInterface:  any
      .....................................       


Тут все-таки стоит ставить wan1

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 15, 2019 08:06 
Не в сети

Зарегистрирован: Ср мар 06, 2019 06:46
Сообщений: 5
Принято, спасибо ответившим. Кажется, начинает доходить... :)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 15, 2019 09:02 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8857
Откуда: Москва
Ravenordm писал(а):
Принято, спасибо ответившим. Кажется, начинает доходить... :)

че тут доходить . в моем посте все описано до мелочей. Такие схемы работают десятками!
У меня такая схема работает ... только еще сложней в разы

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 21


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB