День добрый.
Столкнулся с непонятной вещью, на первый взгляд простой роутинг в некую сеть за гейтом не работает с непонятными ошибками в логе.
DFL-1600 (2.20.01 fm) - шлюз в сети по умолчанию., в сети установили некий сервер\роутер по зади которого воздвигли ещё одну сеть, с неким сервером. на DFL-1600 прописан маршрут в эту сеть.(и с него машина в той сети пингуется).
схема сети:


С End station шлю пинг на 192.168.212.2 - пинг есть, RDP и прочие сервисы не работают, в логе валится:



Если пытаюсь пинговать с 192.168.212.2 на любой хост в сети 172.30.х.х (кроме 172.30.1.10 - он пингуется) - пинга нет, в логе длинка валится:


что вообще происходит помогите понять..., правила ит.д всё есть, простая маршрутизация без НАТ. помогите понять что за "tcp_seqno_too_high " и "no_new_conn_for_this_packet)

Заранее спасибо...горю =(

Ваша топология несколько не понятна, точнее её обрисуйте, что куда подключенно, у вас явно проблемы с маршрутизацией, а поповоду секвенс я бы вам рекомендовал ознакомиться со стеком tcp. Каждый пакет в пределах сессии имеет свой номер, DFL отслеживает порядок пакотов, для того чтоб нельзя было произвести TCP sequence prediction attack

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Здравствуйте Сергей.

Топология проста - есть сеть 172.30.0.0\16, в ней соответственно находятся:
1) Шлюз для сети по умолчанию прописанный на клиентах(172.30.1.10, он же длинк.)
2) клиентские машины 172.30.Х.Х

И есть некая машина 172.30.1.111, с 2мя сетевухами , (172.30.1.111 и 192.168.212.1).

Так вот, если на клиентских машинах прописать статический маршрут в сеть 192.168.212.0\24 на gw 172.30.1.111 - то всё работает идеально. Но т.к машин оччч много в сети, - проще это сделать на шлюзе - т.е на D-Link. - задача то была тривиальная.... =(

-В обход Длинка всё работает, если маршрут прописать на нём - то нет.
Т.е с самого длинка (tool->ping - сеть 192.* пингуется, машины из сети 192.168.212.*\24 тоже видят Длинк.
Получается что Длинк через себя не хочет маршрутиирова пакеты в сеть 192.168.212.Х. - в сети 172.30.*.*

Как я всё это понимаю:
Допустим, отправляем пакет (допустим PING), из сети 192.168.212.* на ip: 172.30.1.21
Пакет сначала попадает на 172.30.1.111, а т.к он направлен на ip из этойже сети, то он напрямую достигает адресата(172.30.1.21), адресат же получив пакет из сети 192.168.212.* - не имея маршрута в эту сеть шлёт назад echo request НО! отправляет его на шлюз (т.е на Длинк), а он согласно своей механике NetDefend Engine - не видя открытую сессию по этому пакету (он ведь получил уже ответный echo request, а первоначальный пинг запрос сквозь него не проходил, вот он и ненаходя у себя открытой сесии дропает этот пакет - NO_NEW_CONN_FOR_THIS_PACKET

Почитал мануал ...про смысл "allow" и "FwdFast".
- Создал Правило
Action : FWDFast
Dest net : 192.168.212.0/24

Всё заработало...,

Сергей, подскажите, верны ли мои размышления или что-то всётаки сдесь не так? , и корректно ли использование FwdFast в этом случае когда нужно просто маршрутизировать пакеты.

Спасибо.

Во первых на DFL должен быть прописан маршрут в удаленую сеть, во вторых на DFL должны быть правила для пропуска трафика из удаленной сети. Правило allow будет работать. в третьих на вашем "маршрутизаторе" так же должны быть прописаны маршруты.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Конечно маршруты прописаны иначебы с длинка и сам длинк из удаленных сетей я не видел бы.
Правила тоже были - ониже Allow ...
На "маршрутизаторе" тоже всё разрешено.

После смены с allow на fwd заработало как я уже описал выше, видимо слишком много буковок или я оч. сумбурно всё описал....

Собственно вопрос остался не понятым... - почему allow не работает а fwd пашет... =(.

p/s просто обидно что такая тривиальная задача почемуто вызвала такие трудности ))), или я сосвсем ничего в этой жизни непонимаю т.к чтобы прописать простой "роут" - быть гуру необезательно...

ПОТОМУ ЧТО forward fast ПРОПУСКАЕТ ПАКЕТ ВСЕГДА даже если он не соотвествует другим настройкам устройства.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо. =|