Приветствую.



Помогите пожалуйста решить задачку!
DFL-860E fw 10.22.01.04-26408, есть подсеть предприятия 10.10.1.0/24, вафлю решили вынести в отдельный VLAN 172.16.8.0/25. При попытке подключиться с любого локального хоста подсети 10.10.1.0/24, например 10.10.1.51, на вебморду точек доступа (AP_1=172.16.8.2 или AP_2=172.16.8.3) , получаю отлуп, роли точек выполняют мыльницы dlink dir-615 и tplink 941nd. В таблицы маршрутизации обоих точек добавлена подсеть 10.10.1.0/24 и прописан шлюз 172.16.8.1, после этого точки стали пинговаться, но http по-прежнему недоступен. Разрешающие правила ALLOW из 10.10.1.0/24 в VLAN 172.16.8.0/25 добавил:


VLAN расположен на 7/8 портах - Port based VLAN, если в правилах изменить ALLOW на NAT - точки видны, но такое решение мне кажется неправильным, припоминаю, что раньше из LAN в VLAN всегда ALLOW указывал. Есть еще один офис, там года 2 назад настраивал DFL-260E, схема аналогичная (вафля в влане живет), правила ALLOW позволяют видеть точку доступа и всех клиентов.

В логах по этому событию: TCP_OPT 3400019 mismatching_tcp_window_scale


Таблица маршрутизации:


Вероятней всего дело тут в маршрутизации

Буду благодарен за помощь.

_________________
DFL-260E | DFL-860E x2

Я бы сделал обратное правило для точек . И проверил кто та шлюз.
Пишу с пульта.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ситуация проясняется, DIR-615 стабильно теряет таблицу маршрутизации после ребута. Надо шить - fw древняя.
Tp-Link прошил, в понедельник буду разбираться с ним, совпало же так, два устройства и оба с багом.

_________________
DFL-260E | DFL-860E x2

Возможно кому-то будет полезно, эти роутеры невдекватно работают с таблицей маршрутизации, возможно потому что интерфейс wan не задействован и отсутствует маршрут по умолчанию через него. Если на тплинке руками прописывать нужную подсеть/маску/метрику, ICMP заводится, остальные протоколы не работают. DIR-615 rev. K1 fw. 2.5.4, прописываю подсеть/маску/метрику, работает без проблем, после ребута девайса в прямой видимости нет, только через NAT, в "Статус >> Таблица маршрутизации" маршрут отсутствует, если перейти в "Дополнительно >> Маршрутизация" маршрут виден и после этого он становится виден в таблице маршрутизации, в результате мыльница становится видна напрямую.

Добавил NAT правило http и icmp на две точки и закрыл тему.

_________________
DFL-260E | DFL-860E x2

по сути они не точки . а роутеры с функцией вифи

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Проблема не в маршрутах, о отсутствии обратного правила для allow:

если работает правило NAT - то собственно nat "помнит" откуда шел запрос и возвращает ответ назад, а для allow - обязательно необходимо указать разрешающие правила и "туда" и "обратно".

Для dir615 проблема определенно в потере маршрута, выше отписал, tplink так и не завелся с allow, для экспиремента подцепил чисто 2 AP, tplink WA901ND и dwl-2100ap, эти устройства заработали без проблем с allow к точкам.
Обратные правила надо будет с 941-ым поробовать.

_________________
DFL-260E | DFL-860E x2

Обратные правила ситуацию не меняют, проверил, это касается TP-Link TL-WR941ND, две обычные точки работают без проблем + Asus RT-N66U в режиме AP трудятся без нареканий.

_________________
DFL-260E | DFL-860E x2

allow не будет работать, т.к. пакет проходит через два шлюза
в обратном пакете, адрес будет только до dfl, это можно отлогировать, должны быть дропы с IP который пытаетесь пинговать

Нет, шлюз один, клиент из VLAN >> DFL >> LAN порт роутера (WAN порт роутера в режиме AP не используется).

_________________
DFL-260E | DFL-860E x2

да, один
извиняюсь недосмотрел схему
судя по ошибке, устройства не могут договорится о размере tcp окна, в параметрах tcp ничего не меняли?

Нет, все по дефолту, собственно проблема решена, выше отписался, DFL отрабатывает корректно, проблема в TL-WR941ND, т.к. с другими девайсами таких матюков нет. С прошивками играться времени нет, но уверен, что based WRT прошивка решила бы эту проблему.

_________________
DFL-260E | DFL-860E x2