faq обучение настройка
Текущее время: Пт мар 29, 2024 12:44

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 60 ]  На страницу 1, 2, 3, 4  След.
Автор Сообщение
 Заголовок сообщения: Вопрос по настройке DFL-260E
СообщениеДобавлено: Пт июн 09, 2017 15:08 
Не в сети

Зарегистрирован: Пт июн 09, 2017 14:55
Сообщений: 35
Здравствуйте.
Существует сеть с двумя роутерами DFL-860E и DFL-260E.
(Схема сети в приложенном файле.)
DFL-860E раздает интернет пользователям домена (WAN2-"белый" ip, LAN-10.145.1.0/24, NAT, ), которые сидят за ним.
DFL-260E стоит тоже за ним как и "обычный пользователь" с адресом (WAN-10.145.1.2 и LAN-10.145.1.193 255.255.255.224) и уже за ним стоит Ноутбук с адресом 10.145.1.201.

У этого ноутбука почему-то не проходит тест соединения с помощью утилиты Казначейства Москвы ( http://moscow.roskazna.ru/upload/iblock ... hecker.rar ) (утилита не требует инсталяции и проверяет соединение с Ноутбука с порта 7500 до сервера 31.173.43.178 на порт 4433).

Если я вытаскиваю Ноутбук из-за второго роутера (DFL-260E) и ставлю его за первым (DFL-860E) (ко всем остальным пользователям), то утилита срабатывает.

На втором роутере не используется NAT, но он сам раздает адреса из сети 10.145.1.192 255.255.255.224 и Ноутбук (имея ip-10.145.1.201 маска 255.255.255.224 шлюз 10.145.1.193) видит интернет и доменные ресурсы. Но не имеет соединения с порта 7500 на ip 31.173.43.178 на порт 4433.
Хотя в правилах указано: src if:LAN src net:10.145.1.201 dest if:WAN dest NET: 0.0.0.0/0 SRC:NAT

Как это поправить, готов дать необходимые уточнения.


Вложения:
set.jpg
set.jpg [ 149.15 KiB | Просмотров: 5766 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Пт июн 09, 2017 15:37 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
В чем по-вашему сакральная идея использования 260E ?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Пт июн 09, 2017 15:55 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Угу. Если имеет место разбиение на 2 подсети, то логичнее было бы обойтись одним DFL-860E

И разбиение какое-то подозрительное. Просто неправильное.
"Резать к чертовой матери! Не дожидаясь перитонитов!" ­©.

Расскажите, почему сделано разбиение на подсети, и зачем сакральный DFL-260E?
Какие сети мы уже видим. и они неверные.

Внутри вашей сети они не должны пересекаться, если они взаимодействуют друг с другом.

Делайте, например, такие сети
LAN 1 - 10.145.1.0/24
LAN 2 - 10.145.2.0/24
(рекомендуется)
или
LAN 1 - 10.145.1.0/25
LAN 2 - 10.145.1.128/25

Вот пример измененной схемы:


Вложения:
set.jpg
set.jpg [ 188.77 KiB | Просмотров: 5759 ]

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Пт июн 09, 2017 16:34, всего редактировалось 6 раз(а).
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Пт июн 09, 2017 16:00 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Почему бы не использовать DMZ ?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вс июн 11, 2017 14:45 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Схема, конечно, необоснованно вычурная. Но об этом уже сказали.

Но если исходить из необходимости разобраться именно в текущей конфигурации, то рецепт прост: берем снифер и смотрим пакеты между DFL.
И, конечно, смотрим логи DFL, особенно второй.
А в общем я не знаю, как DFL работает с тем, что у нее на интерфейсах пересекающееся пространство адресов. И никогда не использовал DFL в "прозрачном" режиме, но подозреваю, что в этом случае маски сети должны быть одинаковые, а не разные.

Кстати, не упомянуто, какой протокол использует утилита...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 09:09 
Не в сети

Зарегистрирован: Пт июн 09, 2017 14:55
Сообщений: 35
MTRX, сакральный смысл в том, что так было настроено до меня и утверждено актом. :(
YuriAM, менять ip-адреса Ноутбука (и других клиентов) за DFL-260E нет возможности. :(
vgo, утилита использует UDP .
Мне надо исходить из необходимости разобраться именно в текущей конфигурации...

Второй роутер был поставлен для ограничения (изолирования) нескольких клиентов от общей сети, т.к. они используют разные системы Клиент-банков.
И эта схема реально утверждена Актом ))). Ip-адреса этим клиентам менять нельзя. Но они находятся в общем домене и пользуются всеми ресурсами сети 10.145.1.1/24 хотя и получают адреса не от общего DHCP-сервера, а от DFL-260E.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 09:20 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Андрей123 писал(а):
vgo, утилита использует UDP .
Мне надо исходить из необходимости разобраться именно в текущей конфигурации...

Второй роутер был поставлен для ограничения (изолирования) нескольких клиентов от общей сети, т.к. они используют разные системы Клиент-банков.
И эта схема реально утверждена Актом ))). Ip-адреса этим клиентам менять нельзя. Но они находятся в общем домене и пользуются всеми ресурсами сети 10.145.1.1/24 хотя и получают адреса не от общего DHCP-сервера, а от DFL-260E.


Ага, UDP. Видимо, тут и причина того, что интернет есть (то есть, проверяли наверняка TCP), а утилита не пашет.

Никогда не имел дел с transparent mode, но мне кажется, что в данном случае DFL нужно включать именно в этом режиме.
И, судя по инструкции http://www.dlink.ua/sites/default/files ... 20mode.pdf, этот режим предполагает
одинаковые настройки сети по обе стороны DFL (а у Вас - разные маски).

Так что, если хотите соблюсти Акт, я бы советовал изучить эту инструкцию и перенастроить все корректно.

Но вообще-то бывает, что Актом утверждают совершенно непотребные вещи. Тогда все-таки правильно переделать акт, а не подгонять реальность под него.

А вдруг кто-то утвердит АКТОМ, что число пи равно 5.5?

ЗЫ. Во всяком случае, у Вас есть отмаз, что дров наломали предшественники. Не всякому так везет )))


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 10:24 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
В целом согласен с предыдущим оратором.

Можно сделать и прозрачный режим, с чем я вам не помощник и не любитель таких дел. Но вряд-ли там есть большие сложности, если читать инструкцию.

Но разбиение и сетевая топология с том виде, в котором описана, является неверной. Но, как уже сказали, если актом утверждено число пи == 5.5, а вы считаете площадь круга, то проще сразу уволиться, т.к. вы всегда будете неправы. Или придется поменять вселенную, чтоб число пи подходило.

Можете опубликовать акт, чтоб мы точно знали в чём ограничения. Или указали на объективные противоречия в нём.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 12:08 
Не в сети

Зарегистрирован: Пт июн 09, 2017 14:55
Сообщений: 35
vgo, пробую настроить по мануалу.
YuriAM, про Акт - так сказало руководство. (Тех.задание на этот второй DFL-260Е сам бы с удовольствием почитал. И естественно не стал бы так делать.)
Информацию о сети и работающих в ней серверах собираю про крохам (я думаю все бывали на новой работе).
Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 12:14 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Андрей123 писал(а):
vgo, пробую настроить по мануалу.
YuriAM, про Акт - так сказало руководство. (Тех.задание на этот второй DFL-260Е сам бы с удовольствием почитал. И естественно не стал бы так делать.)
Информацию о сети и работающих в ней серверах собираю про крохам (я думаю все бывали на новой работе).
Спасибо.

Руководство, которому невозможно объяснить, что оно не властно над законами природы, черезвычайно неудобно,
ибо склонно ставить подчиненных в дурацкое положение.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 13:11 
Не в сети

Зарегистрирован: Пт июн 09, 2017 14:55
Сообщений: 35
vgo, сделал по инструкции (вариант 1).
Интерфейс DFL-260e Lan стал 10.145.1.193/24 и раздал ноутбуку ip - 10.145.1.201 с маской 255.255.255.0
Интерфейс Wan (вопреки мануалу) оставил с динамическим (DHCP) получением адреса: 10.145.1.2 255.255.255.0
Всё равно связи нет. (пинг наружу идет, сайты открываются)

Чую чего-то в правилах или настройках маршрутизации.
Или утилита Казначейства не работает в "прозрачном режиме"..., но как она может не работать, ведь это простой тест соединения, никакой не ВПН.
(прокси-сервера в сети нет)
Уважаемые, может быть посмотрите утилиту, ссылка дана с официального сайта казначейства Москвы, без инсталляции... может быть появятся какие-нибудь мысли.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 13:32 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Андрей123 писал(а):
vgo, сделал по инструкции (вариант 1).
Интерфейс DFL-260e Lan стал 10.145.1.193/24 и раздал ноутбуку ip - 10.145.1.201 с маской 255.255.255.0
Интерфейс Wan (вопреки мануалу) оставил с динамическим (DHCP) получением адреса: 10.145.1.2 255.255.255.0
Всё равно связи нет. (пинг наружу идет, сайты открываются)

Чую чего-то в правилах или настройках маршрутизации.
Или утилита Казначейства не работает в "прозрачном режиме"..., но как она может не работать, ведь это простой тест соединения, никакой не ВПН.
(прокси-сервера в сети нет)
Уважаемые, может быть посмотрите утилиту, ссылка дана с официального сайта казначейства Москвы, без инсталляции... может быть появятся какие-нибудь мысли.


Сделал "по инструкции", но "вопреки мануалу"? Ню-ню...

Снифер Вам в руки, логи читайте, правила разбирайте. Если DFL пакеты дропает, это в логах должно быть, с указанием причин.

Смотреть утилиту точно не буду.


Последний раз редактировалось vgo Вт июн 13, 2017 13:36, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 13:35 
Не в сети

Зарегистрирован: Пт июн 09, 2017 14:55
Сообщений: 35
А чем динамический ip на внешнем интерфейсе может навредить прохождению пакетов со внутреннего интерфейса?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 13:39 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Андрей123 писал(а):
А чем динамический ip на внешнем интерфейсе может навредить прохождению пакетов со внутреннего интерфейса?


А не знаю. Может, ничем. А может - чем-нибудь.

Мне просто формулировка понравилась.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос по настройке DFL-260E
СообщениеДобавлено: Вт июн 13, 2017 13:43 
Не в сети

Зарегистрирован: Чт июн 28, 2012 09:45
Сообщений: 5908
В логах на 260-ом ничего интересного нет?

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 60 ]  На страницу 1, 2, 3, 4  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 50


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB