faq обучение настройка
Текущее время: Вт июл 23, 2019 22:01

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 34 ]  На страницу 1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: Вт май 16, 2017 14:31 
Не в сети

Зарегистрирован: Вт май 16, 2017 14:08
Сообщений: 16
Приветствую!

Сеть офиса 192.168.0.0/23

D-Link DFL860 имеет адрес 192.168.0.230/23 (Прошивка 11.04.01.11-30428)

WatchGuard SOHO 6 (воткнут в локалку, в свитч) имеет адрес 192.168.200.1/24 и далее имеет выход в сеть 10.14.0.0/16

Задача: получить доступ к сервисам по https из сети 192.168.0.0/23 в сетях 10.14.0.0/16, 10.15.40.0/24, 10.15.61.0/24

На данный момент эта задача решается прописыванием себе дополнительного ip из сети 192.168.200.0/24, DNS 10.14.0.2, маршрутов до сети 10.14.0.0/16 и/или бывает задействуется файл hosts...

На мой взгляд, данная схема кривая и её следует заменить на следующую:

WatchGuard SOHO 6 воткнуть в D-Link DFL860 (в DMZ порт), настроить маршруты до сети 10.14.0.0/16

чтобы не было заморочек с прописыванием 2-го ip, DNS и файлами hosts.

Что сделано:

DMZ_IP 192.168.200.2/24
DMZ_NET 192.168.200.0/24
DMZ_GW 192.168.200.1 (WG SOHO 6)
DMZ_NAT_POOL 192.168.200.3 - 192.168.200.252 (Proxy ARP DMZ)

DEST_NETWORK (10.14.0.0/16, 10.15.40.0/24, 10.15.61.0/24)

Маршруты для DMZ
___type______Int________Network_____Gateway
Route IPv4___DMZ___DEST_NETWORK__DMZ_GW 80

___type______Int____Network
Switch Route_DMZ___DMZ NET 90

Правило для DMZ
Ip Rule
NAT
Source_____LAN => LAN NET
Destination__DMZ => DEST_NETWORK

all_tcpudpicmp

NAT_action => NAT Pool
NATPool => DMZ_NAT_POOL
***********************************************
Что работает:

ping 10.14.0.2, это DNS сервер в этой сети

nslookup tfs.a*****y.ru 10.14.0.2
возвращает
Server: penza.a*****y.ru
Address: 10.14.0.2
Name: a*****ytfs.a*****y.ru
Address: 10.15.40.129
Aliases: tfs.a*****y.ru

tracert 10.14.0.2 на 4 шаге возвращает 10.14.0.2 и завершается

В логах есть следующее:

Да, в логах "conn_open_natsat"

источник 192.168.0.99
назначение 10.15.40.129
conn=open connnewsrcip=192.168.200.170 connnewsrcport=53226 connnewdestip=10.15.40.129 connnewdestport=443

НО! В итоге, сервисы по http/https не открываются

Заранее благодарю за ответы!


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 16, 2017 14:39 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8886
Откуда: Москва
показывайте скринами
- правила
-маршруты

вам надо NAT-натится в эти сети . или ходить со своими адресами ?
а лучше картингку с адресами и прочим от руки

а ваш WatchGuard SOHO 6 знает что ни будь про 192,168,0,0/23 ?
знает куда обратный пакет вернуть ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 16, 2017 22:02 
Не в сети

Зарегистрирован: Чт май 11, 2006 15:10
Сообщений: 212
Откуда: Msk
.noname
Если я вас правильно понял в столь поздний час, то у меня так:
Если что, знатоки подправят.
Прошивка в подписи.


Вложения:
02.jpg
02.jpg [ 25.22 KiB | Просмотров: 1836 ]
01.jpg
01.jpg [ 31.82 KiB | Просмотров: 1836 ]

_________________
DFL-860E 11.10.01.06-31274 (WW)
DFL-210 2.27.03.25-14787 (WW)
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 17, 2017 06:20 
Не в сети

Зарегистрирован: Вт май 16, 2017 14:08
Сообщений: 16
Vladimir22 писал(а):
показывайте скринами
- правила
-маршруты

Вложение:
Rules.png
Rules.png [ 36.34 KiB | Просмотров: 1825 ]

Вложение:
Route.png
Route.png [ 28.57 KiB | Просмотров: 1825 ]

Вложение:
Route2.png
Route2.png [ 15.83 KiB | Просмотров: 1825 ]


Vladimir22 писал(а):
вам надо NAT-натится в эти сети . или ходить со своими адресами ?
а лучше картингку с адресами и прочим от руки

Да, NAT необходим, иначе SOHO6 отпинывает запросы не из сети 192.168.200.0/24
Не обязательно NAT_pool, можно адрес DMZ использовать, но пусть будет pool, чтобы можно было проследить...

Vladimir22 писал(а):
а ваш WatchGuard SOHO 6 знает что ни будь про 192,168,0,0/23 ?
знает куда обратный пакет вернуть ?


Насколько я понимаю данную схему, он ничего не знает о сети 192.168.0.0/23, да и не должен знать, ведь все запросы приходят с ip из его сети через 192.168.200.1


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 17, 2017 08:27 
Не в сети

Зарегистрирован: Вт май 16, 2017 14:08
Сообщений: 16
RTFM77 писал(а):
.noname
Если я вас правильно понял в столь поздний час, то у меня так:
Если что, знатоки подправят.
Прошивка в подписи.


Так не работает


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 17, 2017 09:06 
Не в сети

Зарегистрирован: Чт май 11, 2006 15:10
Сообщений: 212
Откуда: Msk
.noname писал(а):
Так не работает

У меня ARP Publishing`а нигде нет

_________________
DFL-860E 11.10.01.06-31274 (WW)
DFL-210 2.27.03.25-14787 (WW)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 17, 2017 09:24 
Не в сети

Зарегистрирован: Чт май 11, 2006 15:10
Сообщений: 212
Откуда: Msk
Я ничего не упустил в вашей схеме.


Вложения:
pptc.jpg
pptc.jpg [ 33.38 KiB | Просмотров: 1814 ]

_________________
DFL-860E 11.10.01.06-31274 (WW)
DFL-210 2.27.03.25-14787 (WW)
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 17, 2017 09:25 
Не в сети

Зарегистрирован: Вт май 16, 2017 14:08
Сообщений: 16
RTFM77 писал(а):
Я ничего не упустил в вашей схеме.


да, всё верно )


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 17, 2017 09:59 
Не в сети

Зарегистрирован: Вт май 16, 2017 14:08
Сообщений: 16
Вот что только что обнаружил.

Я уже для одного сервиса делал такое, имя (https://tfs/ERP/Business%20automation/Procurement%20system) менял на ip 10.15.40.129 - выдаёт "HTTP Error 404. The requested resource is not found."

а сейчас что-то решил для другого сервиса (http://reclamationmanager/view/851271) подставить вместо имени ip (10.14.0.37), запросил логин-пароль, т.е. работает :)

Чего-то где-то не хватает, в том числе и у меня в голове :lol:


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср май 17, 2017 10:23 
Не в сети

Зарегистрирован: Чт май 11, 2006 15:10
Сообщений: 212
Откуда: Msk
.noname писал(а):
RTFM77 писал(а):
Я ничего не упустил в вашей схеме.

да, всё верно )


Ну если все верно, то вышеприведенные правила у меня работают. =)

_________________
DFL-860E 11.10.01.06-31274 (WW)
DFL-210 2.27.03.25-14787 (WW)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт май 18, 2017 06:36 
Не в сети

Зарегистрирован: Вт май 16, 2017 14:08
Сообщений: 16
Vladimir22 писал(а):
показывайте скринами
- правила
-маршруты

вам надо NAT-натится в эти сети . или ходить со своими адресами ?
а лучше картингку с адресами и прочим от руки

а ваш WatchGuard SOHO 6 знает что ни будь про 192,168,0,0/23 ?
знает куда обратный пакет вернуть ?


Я выложил, то что вы просили. Есть какие-нибудь варианты, в чем может быть дело?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт май 18, 2017 08:41 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8886
Откуда: Москва
я что то правил не увидел :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт май 18, 2017 11:26 
Не в сети

Зарегистрирован: Вт май 16, 2017 14:08
Сообщений: 16
Vladimir22 писал(а):
я что то правил не увидел :-)


Вложение:
Rules.png
Rules.png [ 36.34 KiB | Просмотров: 1761 ]


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт май 19, 2017 05:37 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8489
Откуда: Москва
В какой именно порт что куда у вас подключено?
Правильно ли я понимаю, что испытуемая схема такая:
Lannet ---lan-[DFL-860]-dmz-------wan-[WGuard]-lan---- Destination_networks

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Последний раз редактировалось MTRX Пт май 19, 2017 05:59, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт май 19, 2017 05:59 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8489
Откуда: Москва
Или все-таки схема такая

Lannet ---lan-[DFL-860]-dmz-------lan-[WGuard]-wan---- Destination_networks

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 34 ]  На страницу 1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Baidu [Spider] и гости: 10


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB