Шлюзом у компа является циска или ДФЛ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

писал это правило - не помогло.

Шлюз у компа - DFL - lanip=192.168.1.1, т.к. в Интернет сеть lannet=192.168.1.0/24 выходит через DFL, а Cisco служит только для организации VPN.

Вот при такой схеме пинги из внешней сети (правило r2) идут на lan_ip (DFL-260), но RDP по прежнему не работает.

Может log поможет разобраться в чем дело?
Здесь:
172.16.6.3 - компьютер удаленной сети remote_net = 172.16.6.0/27
192.168.23.11 - компьютер сети в которой находится DFL-260: lan_ip = 192.168.23.22, lannet = 192.168.23.0/24 и Сisco: lan_ip = 192.168.23.4, lannet = 192.168.23.0/24.

Ну видно же в логах, что запрос на RDP идет с интерфейса WAN. Разумеется, блочится. Почему с WAN, а не циски?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Хрен его знает. Попробую сбросить все к заводским установкам и снова прописать правила.

Спасибо, с правилом fwd fast заработало.
P.S. оч хорошая статья, которая привела к Вашей записи.

Вы имейте в виду, что в случае fwd fast каждый пакет проходит все правила, пока не доберется до разрешающего. Это грузит устройство. В случае Allow только первый пакет соединения, далее все идентичные пакеты сразу отправляются по маршруту.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

На самом деле, stateless (fwd fast) как раз менее нагружен для маршрутизатора, а также имеет меньше ограничений т.к. каждый пакет обрабатывается по отдельности
Но с другой стороны, возможности его крайне скудны и поэтому без stateful никуда

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Пакеты-то отправляются, но не возвращаются, как я понмаю из log'а, - блокирует TCPSequenceNumbers, а fwd fast обходит эти правила и отключает функции statefull-инспекции.

Но зато результат налицо. Конечно хотелось бы с statefull, но куда лезть чтобы с ним работало?

C fwd fast для каждого пакета каждый раз просматриваются правила. А с Allow просматриваются соединения. Но утвержадется, что это делается аппаратно и быстрее.

Кстати, не очень трудно провести эксперимент.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Мануал говорит об обратном, что fwd fast нагружает больше.
Во-вторых, не будет работать шейпинг и подсчет трафика для авторизованных юзеров.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Шейпинг да, не будет работать, как и ALG, ибо делается это все stateful engine
Подсчет трафика - работает, но по другому (пакетно)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc