Здравствуйте, товарищи форумчане. Помогите пожалуйста разобраться с задачкой.
Дано:
1. Центральный офис (HQ) с хорошим, годным интернет-каналом.
2. Филиал (IAS), с блокируемыми на уровне провайдера соцсетями.
На обоих узлах стоят DFL-870, проброшен IPSec-туннель, соединяющий локалки hq_LAN (192.168.0.0/23) и ias_LAN (192.168.4.0/22)
Теперь задача: часть трафик, идущий с филиала на адреса фейсбука перенаправить в туннель, чтобы соединение с ними проходило через неблокируемый интернет-канал центрального офиса.
Что было сделано:
1. Создал альтернативную таблицу маршрутизации на филиале:
Код:
Routing table: through-HQ
Flags Network Iface Gateway Local IP Metric
------ ------------------ -------------- --------------- --------------- ------
192.168.0.0/23 hq-tunnel 100
192.168.4.0/22 lan1 100
0.0.0.0/0 hq-tunnel 192.168.0.4 90
[/code]
2. Создал правило, заруливающее в неё трафик для определенного списка адресов:
Код:
Device:/> show RoutingRule 1(Facebook-through-HQ)
Property Value
--------------------- ---------------------------
Index: 1
Name: Facebook-through-HQ
ForwardRoutingTable: through-HQ
ReturnRoutingTable: through-HQ
SourceNetwork: InterfaceAddresses/lan1_net
DestinationNetwork: facebook/Facebook
SourceInterface: lan1
DestinationInterface: wan1
Service: all_tcpudpicmp
Schedule: <empty>
LogEnabled: Yes
LogSeverity: Default
Comments: <empty>
3. Создал разрешающую политику:
Код:
Property Value
------------------------- ---------------------------
Index: 5
Name: Facebook-through-HQ
Action: Allow
SourceAddressTranslation: None
DestAddressTranslation: None
AppControl: No
SourceInterface: lan1
DestinationInterface: hq-tunnel
SourceNetwork: InterfaceAddresses/lan1_net
DestinationNetwork: facebook/Facebook
SourceGeoFilter: <empty>
DestinationGeoFilter: <empty>
Service: all_tcpudpicmp
Schedule: <empty>
LogEnabled: Yes
LogSeverity: Default
Comments: <empty>
4. Создал NAT-политику на центральном офисе:
Код:
Property Value
-------------------------- -------------------------------------------
Index: 3
Name: ias-to-inet
Action: Allow
SourceAddressTranslation: NAT
NATSourceAddressAction: OutgoingInterfaceIP (Outgoing Interface IP)
DestAddressTranslation: None
AntiVirus: No
WebControl: No
FileControl: No
AppControl: No
HTTPInspection: No
HTTPAllowUnknownProtocols: No
SourceInterface: ias-tunnel
DestinationInterface: any
SourceNetwork: IPSec/ias_LAN
DestinationNetwork: all-nets
SourceGeoFilter: <empty>
DestinationGeoFilter: <empty>
Service: http-all
Schedule: <empty>
LogEnabled: Yes
LogSeverity: Default
Comments: <empty>
В итоге, в логах филиала вижу, что пакеты уходят в туннель, но в логах центрального офиса пусто, соединение не проходит. Что я делаю не так?