faq обучение настройка
Текущее время: Вт окт 23, 2018 04:30

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 23 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DFL-1660 публикация доп. адресов на wan
СообщениеДобавлено: Вт янв 09, 2018 21:18 
Не в сети

Зарегистрирован: Вс дек 16, 2007 14:24
Сообщений: 43
Добрый вечер! Знаю, тема избитая и обсосана со всех сторон, поиском пользовался, но все равно нужна помощь зала:) Сменили провайдера (Был Билайн, стал Дом.ру), с Билайном работала стандартная схема публикации на wan доп. адресов (был арендован диапазон из 30 адресов) через ARP и правил SAT/Allow. С Дом.ру не могу понять как настроить аналогично.
Сейчас Дом.ру выделил нам подсеть 46.0.236.1 – 46.0.236.31, на WAN маршрутизатора назначен 46.0.207.194, маска 46.0.199.0/24 (255.255.255.0), шлюз 46.0.199.254.
Т.е. насколько я понимаю подсеть подсеть 46.0.236.0/27 смаршрутизирована через внешний адрес на wan 46.0.207.194?
Как на ДФЛ всё это прописать непонятно. Если в ARP прописать адрес из диапазона, например 46.0.236.1 и 2 правила:
Sat: any/all-nets any/46.0.236.1 icmp (во вкладке SAT -> Local_Host_ip, например 10.63.1.2)
Allow: any/all-nets any/46.0.236.1 icmp
То из lan адрес 46.0.236.1 пингуется, а из внешки нет.
Как сделать подсеть 46.0.236.0/27 доступной из внешки подскажите пожалуйста.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср янв 10, 2018 09:19 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8304
Откуда: Москва
для публикации на wan1 правила должны быть:
wan1/all-nets wan1/46.0.236.1 ...далее по тексту

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср янв 10, 2018 10:42 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7106
Откуда: Екатеринбург
как вы хотите использовать эту белую подсеть?

Назначать клиентам или все адреса повесить на wan?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср янв 10, 2018 12:07 
Не в сети

Зарегистрирован: Вс дек 16, 2007 14:24
Сообщений: 43
YuriAM писал(а):
как вы хотите использовать эту белую подсеть?

Назначать клиентам или все адреса повесить на wan?

В идеале хотелось бы повесить на wan, и через ARP и правила SAT/ALLOW (или NAT) использовать непосредственно внутри сети.
Но по видимому так не получится, общаюсь с техподдержкой.
Если подождёте немного накидаю скриншотов.
Сейчас схема такая:
На wan1 настройки: адрес 46.0.207.194, маска 255.255.255.0, шлюз 46.0.207.254. (в 1 посте неправильно указал, прошу прощения)
В ARP опубликованы необходимые адреса из диапазона 46.0.236.1 – 46.0.236.31
В маршрутах необходимый маршрут:
Interface: Network: Gateway: Metric:
wan1 all-nets Domru_gw (46.0.207.254) 90

Ну и в правилах соответственно поменял так как написал MTRX:
SAT: wan1/all-nets wan1/46.0.236.1 (SAT: внутренний адрес)
ALLOW: wan1/all-nets wan1/46.0.236.1


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср янв 10, 2018 12:40 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7106
Откуда: Екатеринбург
Это читали?
http://forum.dlink.ru/viewtopic.php?f=3&t=114002

Наверное, в идеале было бы проще и удобнее, чтобы провайдер адресовал всю вашу подсеть в физический сегмент WAN. И на WAN порт вы бы навесили все адреса из этой подсети.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср янв 10, 2018 13:09 
Не в сети

Зарегистрирован: Вс дек 16, 2007 14:24
Сообщений: 43
Да по ссылке читал.
При добавлении маршрутов
Interface: core
Network: wan2_ip (46.0.236.1)
Gateway: (None)
Local IP address: (None)
Metric: 0

Interface: wan
Network: wan2net (255.255.255.224/27)
Gateway: (None)
Local IP address: (None)
Metric: 100

Пинг идёт только внутри сети, при этом правила приходится менять:
SAT: any/all-nets any/46.0.236.1 (SAT: внутренний адрес)
ALLOW: any/all-nets any/46.0.236.1

Провайдер к сожалению не может адресовать весь диапазон насколько я понимаю. Переговорил с человеком у которого провайдер делал аналогичную схему, у них кроме единственного маршрута: wan1 all-nets Domru_gw ничего не менялось, т.е. всё что приходит на wan отправляется на шлюз провайдера. Со стороны провайдера сделаны аналогичные настройки.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср янв 10, 2018 14:08 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7106
Откуда: Екатеринбург
1. Чем плохо, если вы настроите подсеть белых адресов для клиентов на каком-нибудь из LAN интерфейсов?

2. Можете в целом описать для каких целей используется эта белая подсеть? Для лучшего понимания сути задачи.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср янв 10, 2018 14:47 
Не в сети

Зарегистрирован: Вс дек 16, 2007 14:24
Сообщений: 43
1. При такой схеме вся белая адресация будет на ДФЛ насколько я понимаю? Мне в принципе всё равно, думал заработает отлаженная схема из коробки и не надо будет кучу правил перелопачивать:)
2. Белая подсеть для exchange, vpn, web, ftp, sql. В основном для web кучка адресов используется, остальные адреса могут понадобиться в связи с чемпионатом мира по футболу:)
Я в принципе MTRX озвучвал в личке свою проблему. Но что то у меня всё равно не выходит.
В общем переговорил с другим человеком из техподдержки, 46.0.207.194 не является шлюзом для 46.0.236.1-46.0.236.31, поэтому ничего и не работает. Сказали надо диапазон на lan интерфейс навесить. Можете подсказать как это сделать?
Скриншоты с ДФЛ:
Изображение
Изображение
Изображение
Изображение
Изображение
За ДФЛ стоит коммутатор DGS-3610 на котором прописаны непосредственно все vlan и маршрут:
ip route 0.0.0.0 0.0.0.0 172.16.16.2


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт янв 11, 2018 08:45 
Не в сети

Зарегистрирован: Вс дек 16, 2007 14:24
Сообщений: 43
Продолжаю изыскания. Прошу прощения, не заниматься DFL очень давно:)
На DGS создал vlan46:
interface VLAN 46
no ip proxy-arp
ip address 46.0.236.1 255.255.255.224
ip access-group acl_Domru_in in
ip access-group acl_Domru_out out

На DFL в интерфейсах:
Name: local_net_46
Address: 46.0.236.0/27

В маршрутах:
Interface: lan1
Network: 46.0.236.0/27
Gateway: 172.16.16.1
Local IP address: 172.16.16.1
Metric: 100

Нетбук с настройками (подключаю к DGS к клиентскому порту):
IP: 46.0.236.12
Mask: 255.255.255.224
Gateway: 46.0.236.1

В итоге шлюз на нетбуке не пингуется. Неправильно сделал?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт янв 11, 2018 11:15 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7106
Откуда: Екатеринбург
1. сначала Вам надо выбрать как белая подсеть будет общаться с вашими серыми офисными сетями:
1.1 как обычная офисная сеть или
1.2 как зона DMZ c соответствующими ограничениями и политиками. Это рекомендуемый по безопасности, но более сложный вариант.

от этого будет зависеть как подключать белую подсеть - через DFL или коммутатор L3.

В целом вопрос настройки белой подсети не сложен и почти не отличается от настройки обычной офисной сети.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт янв 11, 2018 14:02 
Не в сети

Зарегистрирован: Вс дек 16, 2007 14:24
Сообщений: 43
Спасибо что отвечаете:) Для начала я бы хотел более простой вариант, и если честно я в тупике. Все варианты я уже использовал. Если посоветуете ещё что либо - буду благодарен.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт янв 11, 2018 15:28 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7106
Откуда: Екатеринбург
Настройте белую подсеть на любом незанятом независимом порту DFL. Делайте все точно также как для сети офиса.

Но разрешающие правила будут на вход и выход только Allow.

И не забудьте отвязать от ARP ваши белые адреса, что будете использовать.

Лучше бы вы это попробовали на чистой конфигурации. Или другом DFL.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт янв 12, 2018 23:01 
Не в сети

Зарегистрирован: Вс дек 16, 2007 14:24
Сообщений: 43
Друзья вопрос снят, проблема была на стороне провайдера. Прошу прощения. Из внешки теперь опубликованные адреса доступны. Но появилась проблема с Nat Loopback, в частности опубликованные адреса не доступны из локальной сети. Вывод трассировки маршрута:

Трассировка маршрута к 46.0.236.2 с максимальным числом прыжков 30:

1 2 ms 7 ms 5 ms 10.63.0.1
2 * * * Превышен интервал ожидания для запроса.
3 1 ms 1 ms 1 ms 172.16.16.1
4 * * * Превышен интервал ожидания для запроса.

10.63.0.1 - шлюз для подсети 10.63.0.0/23
172.16.16.1 - шлюз для подсети 172.16.16.0/30
На lan1 интерфейсе ДФЛ соответственно адрес 172.16.16.2
Какого то маршрута не хватает. Подскажите в какую сторону глядеть?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб янв 13, 2018 14:08 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8304
Откуда: Москва
Покажите, как реализован NAT Loobback сейчас у Вас.

Воспользуйтесь моим мануалом: viewtopic.php?p=873935

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс янв 14, 2018 11:08 
Не в сети

Зарегистрирован: Вс дек 16, 2007 14:24
Сообщений: 43
Правила стандартные, первое SAT, второе NAT.
Кстати ещё обнаружил косяк, в сети провайдера опубликованные ресурсы не работают, т.е. с мобильного провайдер МТС всё открывается, дома где тот же провайдер что и на работе Дом.ру ничего не доступно.
Изображение
Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 23 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB