Добрый день. Столкнулся с проблемой, от которой не могу найти решение, т.к. такое поведение DFL мне не понятно.
Имеем DFL-860E с сертификатом ФСТЭКа, firm 2.27.05.32-16775 Oct 18 2011
Есть интерфейсы: Lan == dhcp 10.0.0.0/22 == ip 10.0.0.2
vlan8 8port == dhcp 10.0.10.0/24 == ip 10.0.10.1
dmz == dhcp 172.17.100.0/24 == ip 172.17.100.254
Сеть устроена, что lan не имеет доступа к интернету вообще, поэтому правила прописаны такие:
lan to wan
1 allow_ping-outbound NAT lan lannet wan1 all-nets ping-outbound
2 drop_smb-all Drop lan lannet wan1 all-nets smb-all
3 deny_ftp-passthrough_av Reject lan lannet wan1 all-nets ftp-passthrough-av
4 deny_standard Reject lan lannet wan1 all-nets all_services
vlan8 8port - это выделенный порт как отдельный интерфейс. Все, кто на нем - имеют интернет. Соответственно на нем сидит только одним концом прокси-шлюз для интернета, ну и клиенты, которым интернет нужен всегда (и туда завернут поднятый vpn-сервер на dfl-е, т.е. подключаясь по vpn из lan, тебе дают vlan8 адрес и сеть с интернетом).
vlan8 to wan
1 sat-dns-relay SAT vlan_8port vlan8_net core vlan8_ip dns-all
2 allow_dns NAT vlan_8port vlan8_net core vlan8_ip dns-all
3 allow_ping-outbound NAT vlan_8port vlan8_net wan1 all-nets ping-outbound
4 allow_ftp-passthrough_av NAT vlan_8port vlan8_net wan1 all-nets ftp-passthrough-av
5 allow_standart NAT vlan_8port vlan8_net wan1 all-nets all_services
Потребовалось подключиться к защищенной сети VipNet Client 4 для электронных закупок, поставили ноутбук, клиент, написали как просили правило для исходящих 55777. Подключаемся.... подключение есть, сеть випнета не работает. Мучал и так, и эдак. Решил проверить в неиспользуемом DMZ, прописал побыстрому правила из vlan8...
dmz to wan
1 allow_dmz NAT dmz dmznet wan1 all-nets all_tcpudp
2 SAT_DNS_relay SAT dmz dmznet core dmz_ip dns-all
3 allow_dns_relay NAT dmz dmznet core dmz_ip dns-all
4 allow_ping_outbound NAT dmz dmznet wan1 all-nets ping-outbound
5 allow_ftp_passthrough NAT dmz dmznet wan1 all-nets ftp-passthrough-av
6 vipnet NAT dmz dmznet wan1 VipnetServ VipnetPort
где VipnetServ - ip адрес сервера Vipnet, Vipnetport - разрешенный порт 55777 для подключений
Заработало. Но при этом, почему то без правила №6 vipnet - подключение не поднимается, хотя мне это не понятно, т.к. разрешены все подключения первым же правилом, почему ему надо именно персональное правило. Замена all_tcpudp на all_services не дает отличий. Ну ладно, работает - уже хорошо.
Вношу это правило в vlan8 - не работает. Подключение в Connections вижу, но если при работе с dmz помимо соединения с Vipnet IP, у клиента появляются исходящие соединения dns, 80 и прочим портам с ресурсами випнета, то как только перетыкаю в vlan8 - висит только исходящее по 55777, остальные подключения не поднимаются, поэтому ресурсы и не открываются. Но при этом в логах в drop ничего не сбрасывается, хотя если отключить в dmz правило 55777, то в логи пишет, что соединение дропнуто дефалтовым правилом.
Пришлось тянуть отдельный кабель для ноутбука, но планируется установка еще несколько клиентов, не тянуть же до каждого с dmz-зоны.
Вопрос - в чем я ошибся, или в чем еще может быть проблема? Как вариант, хотел создать правила для опеределенного IP в lan, чтобы они имели доступ к випнету и интернету, но не успел еще проверить, да и как-то не нравится мне этот "костыль".