Доброго времени суток.
DFL-860E. 2.27.30.03
Имеется сеть, разбитая на несколько vlan (192.168.10.0/24, 192.168.1.0/24, 192.168.20.0/24 и т.д.), которая ходит в интернет через WAN1. Имеется крипто шлюз который подключен wan2 (), на нем есть только несколько ресурсов (сетевая шара + сайт (12.1.0.118/16, 12.1.0.200/16)).

необходимо дать доступ из всех подсетей на ресурсы в WAN2. Перепробовал множество вариантов, статей. попасть на них так и не могу. в журнале все дропается.

подскажите что упускаю. что не так....
остановился на текущих настройках.

wan2_ip - это отдельный адрес?
тогда будет дропаться
destnet должна быть типа wan2_net (допустим 12.1.0.118/16, 12.1.0.200/16)
ну и маршрут на wan2_net должен быть
если шлюз к требуемым сетям находится за wan2, то должен быть прописан маршрут к нему через wan2

Если вы хотите к этим сетям ходить только через wan2, то все элементарно:
1. прописать в таблице main маршруты до этих сетей
2. прописать верные IP правила.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, спасибо, не заметил.. подправил на wan2_net.


маршруты есть, и правила указаны

Похоже, что косяки в обоих случаях.

1. Для начала вы сами должны решить где располагаются ваши сети - за lan или wan2. Потом рассказать об этом рутеру так, чтобы он точно их нашел. Не надо ему говорить: "Я сам не знаю, чё делать. А ты умный, дорогой девайс. Небось сам разберешься."

2. а правила сделайте вида
NAT lan lannet wan2 <искомые_за_wan2_сети> all_services

Не хочу писать пошаговую инструкцию. Сами тоже приложите усилия. Поскольку это, действительно, простейший случай.

Золотая пара остается неизменной:
1. маршруты
+
2. IP- правила.

Чтобы знать
1. где искать
и
2. иметь права доступа.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Они уже сделаны (MEV_sec - это группа) - заменил на all_services

lan_to_wan2
lan --- lannet --- wan2 ---- RSMEV_sec ---- all_services | SRC:NAT
est_or1
lan --- lannet --- wan2 --- RSMEV_sec ---- all_services | Allow

подправил маршрурты, (оказались 2 лишних), вроде пустило на сетевую шару (покрайней мере появилось окно для ввода пароля).
а вот сайт не пускает...

C правилами аналогично.

У вас доступ либо прямой (Allow), либо через NAT. В любом случае сработает только одно, первое правило.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

не пускает на портал .. ruleset_drop_packet drop.. Подключение идет на порт 8080.

может лучше сделать отдельную запись для этого сайта и конкретно указывать доступ не него?
или же, если я разрешаю прохождения трафика по порту 8080, для все сети, то он пустит независимо от чего либо?

Подскажите люди добрые что нет так. что ему нужно. сейчас оставил следующие правила.

lan (192.168.1.0/24) ---All_vlan (группа подсетей) --- wan2---- SMEV_sec (группа сетей за wan2) all_services
lan (192.168.1.0/24) --- All_vlan (группа подсетей) ---- wan2 --- sec_route (ip адрес сервера за wan2) http-all

1. Поступайте с этим сайтом также как же как с сетями, работающими через wan2. Объедините их в общую группу. И для этой группы делайте маршрут и правила.

2 a. Убедитесь каким-либо образом, что сайт действительно доступен через wan2.
2 b. Если есть верный маршрут и сайт может пинговаться, то он будет пинговаться с DFL безо всяких правил.

3. маршруты до нужных сетей не должны дублироваться. за исключением случаев сознательно настроенного резервирования.

4. правила доступа на время настройки располагайте выше остальных правил и папок правил.

В целом решение этой задачи как было, так и остается простым.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Проблема решена, Всем спасибо. Отдельное спасибо YuriAM за наводящие ответы. проблема оказалась в порядке применения правил и дублировании.