Добрый день. Столкнулся с проблемой, от которой не могу найти решение, т.к. такое поведение DFL мне не понятно.
Имеем DFL-860E с сертификатом ФСТЭКа, firm 2.27.05.32-16775 Oct 18 2011
Есть интерфейсы: Lan == dhcp 10.0.0.0/22 == ip 10.0.0.2
vlan8 8port == dhcp 10.0.10.0/24 == ip 10.0.10.1
dmz == dhcp 172.17.100.0/24 == ip 172.17.100.254
Сеть устроена, что lan не имеет доступа к интернету вообще, поэтому правила прописаны такие:


vlan8 8port - это выделенный порт как отдельный интерфейс. Все, кто на нем - имеют интернет. Соответственно на нем сидит только одним концом прокси-шлюз для интернета, ну и клиенты, которым интернет нужен всегда (и туда завернут поднятый vpn-сервер на dfl-е, т.е. подключаясь по vpn из lan, тебе дают vlan8 адрес и сеть с интернетом).


Потребовалось подключиться к защищенной сети VipNet Client 4 для электронных закупок, поставили ноутбук, клиент, написали как просили правило для исходящих 55777. Подключаемся.... подключение есть, сеть випнета не работает. Мучал и так, и эдак. Решил проверить в неиспользуемом DMZ, прописал побыстрому правила из vlan8...


Заработало. Но при этом, почему то без правила №6 vipnet - подключение не поднимается, хотя мне это не понятно, т.к. разрешены все подключения первым же правилом, почему ему надо именно персональное правило. Замена all_tcpudp на all_services не дает отличий. Ну ладно, работает - уже хорошо.
Вношу это правило в vlan8 - не работает. Подключение в Connections вижу, но если при работе с dmz помимо соединения с Vipnet IP, у клиента появляются исходящие соединения dns, 80 и прочим портам с ресурсами випнета, то как только перетыкаю в vlan8 - висит только исходящее по 55777, остальные подключения не поднимаются, поэтому ресурсы и не открываются. Но при этом в логах в drop ничего не сбрасывается, хотя если отключить в dmz правило 55777, то в логи пишет, что соединение дропнуто дефалтовым правилом.
Пришлось тянуть отдельный кабель для ноутбука, но планируется установка еще несколько клиентов, не тянуть же до каждого с dmz-зоны.

Вопрос - в чем я ошибся, или в чем еще может быть проблема? Как вариант, хотел создать правила для опеределенного IP в lan, чтобы они имели доступ к випнету и интернету, но не успел еще проверить, да и как-то не нравится мне этот "костыль".

Порядок выполнения правил - сверху вниз.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Это понятно, что сверху вниз. Но причем тут это?
Правила забиты в папки по интерфейсам, папки упорядочены в DFL lan - vlan - dmz. В любом случае, у DMZ первым идет правило "все tcp udp разрешить", но при этом 55777 порт под это правило почему-то не подпадает, хотя по мне, он должен входить. И только после всего, срабатывает default rule отброса.

А можно как-то гораздо короче сформулировать проблему? С лету я не понял, а вчитываться глубоко лень.

Наверняка у вас простая, детская ошибка. С топологией или правилами.

К тому же помните, на DFL что не разрешено, то запрещено. Поэтому явные запрещающие IP правила обычно не нужны.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Если короче, то так: есть ПО VIPnet Client, который создает защищенный туннель на свои сервера и выступает как защищенная локалка для тендерных площадок.
Есть DFL-860E с 4 интерфейсами: lan (без интернета), vlan8 (софтовый интерфейс 8 порта, с интернетом), dmz (с интернетом) и wan1.

Если подключили ноут с vipnet в dmz - все работает, и туннель, и ресурсы.
Если подключили ноут с vipnet в vlan8 - туннель поднимается, внутренние ресурсы не открываются. В логах drop-пакетов нет.

Правила в dmz и vlan8 отличаются только названиями интерфейсов.
И почему при all_services или all_tcpudp надо все равно открыть порт 55777? Он же all_tcpudp как бы должен быть.

Спасибо! Намного лучше.
Хотя список конкретных вопросов с номерами не помешал бы.

по порту 55777 лучше почитать
http://support.entensys.com/ru/Knowledgebase/Article/View/420/137/nstrojjk-vipnet
там же ссылка по настройке NAT. Я не стал вчитываться. Но вам, наверное, не помешает.
и обновить софт. Возможно, ошибка связана с этим.

Но я тоже согласен, что явное правило для порта 55777 выглядит совершенно ненужным при наличии all_tcpudt.

1. Кстати, какая версия VIPnet client у вас сейчас?
2. Я бы обновил софт для начала по рекомендации. А потом рыл дольше. Мысли есть, но, скорее, общего плана.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.