1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 02:10

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 7 из 8
  [ Сообщений: 112 ]  На страницу Пред.  1 ... 4, 5, 6, 7, 8  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
danilovav
СообщениеДобавлено: Вт июн 18, 2013 23:19 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Да. Сверху вниз, все что не разрешено - запрещено.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
bugy
СообщениеДобавлено: Пт июн 28, 2013 11:39 
Не в сети

Зарегистрирован: Пн мар 19, 2007 10:54
Сообщений: 90
Что я не правильно делаю? не пойму. :cry:

нужно пробросить порт c WAN2 до внутреннего адреса в сети 192.168.1.200
Создал службу Services->Radmin - порт 4899, Создал сервер в Address Book - 192.168.1.200 (test)

далее сделал как в этом FAQ: http://www.dlink.ru/ru/faq/85/480.html
Цитата:
1 SAT_Radmin_Wan2 SAT wan2 all-nets core wan2_ip Radmin
2 Allow_Radmin_Wan2 Allow wan2 all-nets core wan2_ip Radmin

где в SAT указал сервер test и порт 4899
Save and Activate

Пробую соединиться Radmin'ом. Не удачно. в Логах пишет
Цитата:
2013-06-28
12:32:39 Warning RULE
6000051 Default_Rule TCP lan
192.168.1.253
215.75.165.84 4005
4899 ruleset_drop_packet
drop
ipdatalen=28 tcphdrlen=28 syn=1

Online сканер портов говорить что порт closed
а в логах DFL в этот момент:
Цитата:
2013-06-28
13:12:16 Info CONN
600001 Allow_Radmin_Wan2 TCP wan2
lan 88.198.46.51
215.75.165.84 46507
4899 conn_open
satdestrule=SAT_Radmin_Wan2 conn=open


что же не так?
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Пт июн 28, 2013 12:46 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
а теперь доделать PBR ( в факах есть ) и будет проффит !
наверняка у вас метрика сети маршрута уводит обратные пакеты на WaN1 ^-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
bugy
СообщениеДобавлено: Пт июн 28, 2013 12:56 
Не в сети

Зарегистрирован: Пн мар 19, 2007 10:54
Сообщений: 90
Vladimir22 писал(а):
а теперь доделать PBR ( в факах есть ) и будет проффит !

Сюда смотреть? http://www.dlink.ru/ru/faq/85/576.html
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Пт июн 28, 2013 13:01 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
bugy писал(а):
Vladimir22 писал(а):
а теперь доделать PBR ( в факах есть ) и будет проффит !

Сюда смотреть? http://www.dlink.ru/ru/faq/85/576.html

да да . именно сюда .

в кратце , создать еще таблицу с единственным маршрутом на All-Nets и правилами ваш траффик рулить в эту таблицу :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
bugy
СообщениеДобавлено: Вс июн 30, 2013 21:48 
Не в сети

Зарегистрирован: Пн мар 19, 2007 10:54
Сообщений: 90
сделал как описано в этом faq http://www.dlink.ru/ru/faq/85/576.html

в Логах пишет conn_open через минуту conn_close close

радмин не соединяется
Вернуться наверх
 Профиль  
 
bugy
СообщениеДобавлено: Пн июл 01, 2013 10:44 
Не в сети

Зарегистрирован: Пн мар 19, 2007 10:54
Сообщений: 90
а почему еще в логах пишет что DstIF lan, a DstIP мой внешний 215.75.165.84? Мне кажется DstIP должен быть IP севрера за маршрутизатором то бишь 192.168.1.200

Цитата:
2013-07-01 11:43:48 Info CONN 600001 allow-radmin-Wan2 TCP wan2 lan 88.198.46.51 215.75.165.84 59126 4899 conn_open
Вернуться наверх
 Профиль  
 
bugy
СообщениеДобавлено: Пн июл 01, 2013 20:36 
Не в сети

Зарегистрирован: Пн мар 19, 2007 10:54
Сообщений: 90
решил делать все с нуля. Заставить работать правила хотя бы на WAN1.
И тут не думал что опять возникнет проблема с пробросом нестандартного порта с Wan на севрвер за DFL
http://www.dlink.ru/ru/faq/85/480.html
Если я в правиле в SAT указываю службу rdp, а новый порт ну к примеру 1189, не соединяется вообще и в логах пишет "ruleset_drop_packet drop". Если делаю наоборот в наборе служб создаю новую rdp-1189, c портом 1189. Затем в правилах SAT и allow выбираю новую службу rdp-1189, а на вкладке SAT New port пишу стандартный 3389, то в логах пишет conn_open, но соединение не устанавливает.

как быть то?
Вернуться наверх
 Профиль  
 
bugy
СообщениеДобавлено: Чт июл 04, 2013 08:30 
Не в сети

Зарегистрирован: Пн мар 19, 2007 10:54
Сообщений: 90
по предыдущим вопросам разобрался, нашел свои косяки.

Вопрос теперь такой как реализовать на железке Staitic DHCP server по MAC адресам компьютеров в lan?
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Чт июл 04, 2013 09:08 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
bugy писал(а):
Вопрос теперь такой как реализовать на железке Staitic DHCP server по MAC адресам компьютеров в lan?


делате статические хосты - и все работает .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
bugy
СообщениеДобавлено: Ср июл 31, 2013 13:04 
Не в сети

Зарегистрирован: Пн мар 19, 2007 10:54
Сообщений: 90
сделал проброс 3000 порта
вроде правило отрабатывает и пишет conn_open, но соединение не происходит...
меня смущает строчка:
Цитата:
2013-07-31 11:54:22 Warning TCP_FLAG 3300019 TCPSequenceNumbers TCP wan1 lan 213.87.137.233 192.168.1.241 8211 3000 tcp_seqno_too_high drop seqno=41746431 accstart=10289151 accend=10289153 origsent=1416 termsent=0 ipdatalen=20 syn=1

вот лог
Цитата:
2013-07-31
11:54:42 Alert CONN
600001 allow_teleofis TCP wan1
lan 88.198.46.51
92.135.65.180 50308
3000 conn_open
satdestrule=SAT_teleofis_128 conn=open
2013-07-31

11:54:26 Alert CONN
600001 allow_teleofis TCP wan1
lan 213.87.137.233
92.135.65.180 8211
3000 conn_open

2013-07-31
11:54:22 Warning TCP_FLAG
3300019 TCPSequenceNumbers TCP wan1
lan 213.87.137.233
192.168.1.241 8211
3000 tcp_seqno_too_high
drop
seqno=41746431 accstart=10289151 accend=10289153 origsent=1416 termsent=0 ipdatalen=20 syn=1
2013-07-31
11:54:20 Warning TCP_FLAG
3300019 TCPSequenceNumbers TCP wan1
lan 213.87.137.233
192.168.1.241 8211
3000 tcp_seqno_too_high
drop
seqno=41746431 accstart=10289151 accend=10289153 origsent=1376 termsent=0 ipdatalen=20 syn=1
2013-07-31
11:54:18 Warning TCP_FLAG
3300019 TCPSequenceNumbers TCP wan1
lan 213.87.137.233
192.168.1.241 8211
3000 tcp_seqno_too_high
drop
seqno=41746431 accstart=10289151 accend=10289153 origsent=1336 termsent=0 ipdatalen=20 syn=1
2013-07-31
11:54:17 Warning TCP_FLAG
3300019 TCPSequenceNumbers TCP wan1
lan 213.87.137.233
192.168.1.241 8211
3000 tcp_seqno_too_high
drop


полусается откидывает с неправильным "seqno".

Может надо что-то поправить в правилах?
Вернуться наверх
 Профиль  
 
bugy
СообщениеДобавлено: Чт авг 01, 2013 12:41 
Не в сети

Зарегистрирован: Пн мар 19, 2007 10:54
Сообщений: 90
Зашел в "Advanced Settings -> TCP SettingsTCP ->" изменил Sequence Numbers: на Ignore
в лог стал сыпать следущее:
      2013-08-01
      13:34:11 Warning TCP_FLAG
      3300010 LogStateViolations TCP wan1
      lan 213.87.136.41
      192.168.1.241 36202
      3000 unexpected_tcp_flags
      drop
      flags=SYN endpoint=originator state=FIN_RCVD origsent=1012 termsent=0 ipdatalen=20 syn=1
      2013-08-01
      13:34:09 Warning TCP_FLAG
      3300010 LogStateViolations TCP wan1
      lan 213.87.136.41
      192.168.1.241 36202
      3000 unexpected_tcp_flags
      drop
      flags=SYN endpoint=originator state=FIN_RCVD origsent=972 termsent=0 ipdatalen=20 syn=1
      2013-08-01
      13:34:07 Warning TCP_FLAG
      3300010 LogStateViolations TCP wan1
      lan 213.87.136.41
      192.168.1.241 36202
      3000 unexpected_tcp_flags
      drop
      flags=SYN endpoint=originator state=FIN_RCVD origsent=932 termsent=0 ipdatalen=20 syn=1
      2013-08-01
      13:34:06 Warning TCP_FLAG
      3300010 LogStateViolations TCP wan1
      lan 213.87.136.41
      192.168.1.241 36202
      3000 unexpected_tcp_flags
      drop
      flags=SYN endpoint=originator state=FIN_RCVD origsent=892 termsent=0 ipdatalen=20 syn=1
      2013-08-01
      13:34:04 Warning TCP_FLAG
      3300010 LogStateViolations TCP wan1
      lan 213.87.136.41
      192.168.1.241 36202
      3000 unexpected_tcp_flags
      drop
      flags=SYN endpoint=originator state=FIN_RCVD origsent=852 termsent=0 ipdatalen=20 syn=1

    Зашел опять в "Advanced Settings -> TCP SettingsTCP ->" поменял все TCP SYN/* на Ignore

    не помогло(((( опять сыпет unexpected_tcp_flags
    Вернуться наверх
     Профиль  
     
    academic
    СообщениеДобавлено: Пт авг 02, 2013 14:51 
    Не в сети

    Зарегистрирован: Чт дек 17, 2009 11:10
    Сообщений: 10
    Добрый день! Помогите с такой проблемой (для меня). К нашему офису подключили точка-точка филиал. Отдельным кабелем. Мы внутри провайдерского канала (точка-точка) соединили 2 DFLя IPSec каналом. Подсети друг друга видят, всё вроде хорошо. В интернет из филиала (да и из самого офиса) доступ через прокси. Но потребовалось подключить некоторое оборудование в филиале напрямую к интернету через офисный выход в WAN1. Вот тут голову сломал. Не могу создать правильные правила. Голова кипит, чувствую, что где то рядом, но никак не могу нащупать ЧЕГО не хватает. Графически это выглядит как то так
    Изображение
    Хоть в какую сторону копать?
    Вернуться наверх
     Профиль  
     
    Vladimir22
    СообщениеДобавлено: Пт авг 02, 2013 15:16 
    Не в сети

    Зарегистрирован: Вт фев 26, 2008 19:07
    Сообщений: 9130
    Откуда: Москва
    даю наводку: если у вас , IPsec туннель . то с какми рараметрами
    RemoteNet И LocalNet , он создан !?;-)

    _________________
    Своим вопросом Вы загоняете меня в ГУГЛ.....
    DFL-210 -архив образов
    Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
    Готовыe платить - пишите
    Прикуплю неисправные девайсы ради корпусов ....-> в личку
    Вернуться наверх
     Профиль  
     
    academic
    СообщениеДобавлено: Пт авг 02, 2013 16:18 
    Не в сети

    Зарегистрирован: Чт дек 17, 2009 11:10
    Сообщений: 10
    Vladimir22 писал(а):
    с какми рараметрами RemoteNet И LocalNet , он создан !?;-)

    точно...

    IPSec со стороны филиала
    локал - ланнет 192,168,2,0/24
    ремоте - ланнет офиса 192,168,1,0/24
    соответственно в офисном ДФЛе наоборот.

    ремоте прописать алл нет?
    тогда в офисном не понятка...
    Вернуться наверх
     Профиль  
     
    Показать сообщения за:  Сортировать по:  
    Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 7 из 8
    		  [ Сообщений: 112 ]  На страницу Пред.  1 ... 4, 5, 6, 7, 8  След.

    Список форумов » Маршрутизаторы и Firewall

    Часовой пояс: UTC + 3 часа


    Кто сейчас на форуме

    Сейчас этот форум просматривают: Bing [Bot] и гости: 286

    Вы не можете начинать темы
    Вы не можете отвечать на сообщения
    Вы не можете редактировать свои сообщения
    Вы не можете удалять свои сообщения
    Вы не можете добавлять вложения

    Найти:
    Перейти:  
    Создано на основе phpBB® Forum Software © phpBB Group
    Русская поддержка phpBB