Добрый день! Помогите разабраться с маршрутизацией.

Схема такая:

Удаленные клиенты ----> FW DFL-210 ---> локальная сеть ----> FW Traffic Inspector --->инет

Удаленные клиенты по PPTP подключаются к локальной сети через DFL-210 (это настроил). Клиенту присваивается IP из пула 192.168.1.10-192.168.1.20.

Настройки DFL-210:
wan_ip: 25.118.286.251
wannet: 25.118.286.240
wan_gw: 25.118.286.241

lan_ip: 192.168.1.7
lannet: 192.168.1.0/22

Настройки на Traffic Inspectore:
wan: 218.100.20.149
wannet: 218.100.20.128
wan_gw: 218.100.20.129

lan_ip: 192.168.1.5
lannet:192.168.1.0/22

Локальные пользователи выходят в интернет через Traffic Inspector. Задача: Необходимо чтобы удаленные пользователи выходили в интернет через Traffic Inspector т.е. через шлюз 192.168.1.5
Для примера: когда удаленный пользователь подключается по PPTP к DFL-210 ему присватвается адрес:
ip: 192.168.1.11
server: 192.168.1.10
gw: 192.168.1.11

Пускаю трассировку до mail.ru все хопы со звездочками. Помогите настроить маршрутизацию. Спасибо

Запустите ping -t и смотрите куда у вас идет пинг и логи.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Пинги ходят только на локальные IP, на внешние ресурсы пинги не ходят

Так вот и запустите на любой внешний сервер постоянный (-t) пинг и смотите, куда пакеты идут и что происходит

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

2009-12-24
11:18:09 Info CONN
600001 fromPPTPclients UDP pptp_server
lan 192.168.1.11
192.168.1.72 1029
161 conn_open

conn=open
2009-12-24
11:18:08 Info CONN
600001 fromPPTPclients UDP pptp_server
lan 192.168.1.11
192.168.1.71 1029
161 conn_open

conn=open
2009-12-24
11:18:07 Info CONN
600001 fromPPTPclients UDP pptp_server
lan 192.168.1.11
192.168.1.120 1029
161 conn_open

conn=open
2009-12-24
11:18:06 Warning RULE
6000051 Default_Rule ICMP pptp_server
192.168.1.11
mail.ru
ruleset_drop_packet
drop
ipdatalen=40 icmptype=ECHO_REQUEST echoid=1024 echoseq=9984
2009-12-24
11:18:01 Warning RULE
6000051 Default_Rule ICMP pptp_server
192.168.1.11
mail.ru
ruleset_drop_packet
drop
ipdatalen=40 icmptype=ECHO_REQUEST echoid=1024 echoseq=9728

Подскажите в каком направлении копать?

Что вы пинговали? Где соответствующая строка из status-connections, показывающая куда пошел коннект?

Вы поймите, пока вы не начнете предоставлять всю запрошенную инфу, никто вам не сможет помочь.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

c DFL-210 пинги на mail.ru (217.69.128.42) ходят:

Results of pinging to 217.69.128.42:
Seq Roundtrip TTL
0 90 ms 116
1 90 ms 116
2 90 ms 116
3 90 ms 116
4 100 ms 116

State table contents (max 100 entries)
State Proto Source Destination Timeout
PING ICMP core:25.118.286.251:63016 wan:217.69.128.42:63016 3

Пинги не ходят с удаленных клиентов:

C:\Documents and Settings\xxx>ping mail.ru

Обмен пакетами с 217.69.128.42 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 217.69.128.42:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

Маршруты:

1 Route wan wannet 100 No Direct route for network wannet over interface wan.
2 Route wan all-nets wan_gw 100 No Default route over interface wan.
3 Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
4 Route lan lannet 100 No Direct route for network lannet over interface lan.
5 Route lan all-nets lan_gw 100 No Default route over interface lan.

Роли:

# Name Action Src If Src Net Dest If Dest Net Service
1 ping_fw Allow lan lannet core lan_ip ping-inbound
2 lan_to_wan
3 remote_site
4 ping Allow any all-nets core all-nets ping-inbound

в lan_to _wan:
# Name Action Source interface Source network Destination interface Destination network Service
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan all-nets ftp-passthrough
4 allow_standard NAT lan lannet wan all-nets all_tcpudp


в remote_site:
# Name Action Source interface Source network Destination interface Destination network Service
1 fromPPTPclients Allow pptp_server ip_pools_VPN lan lannet all_services
2 toPPTPclients Allow lan lannet pptp_server ip_pools_VPN all_services

ipconfig /all

dial-up - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interfa
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 21.16.44.92
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 21.16.44.92
DNS-серверы . . . . . . . . . . . : 21.16.24.133
21.16.24.151
NetBIOS через TCP/IP. . . . . . . : отключен

test - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interfa
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.11
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.1.11
DNS-серверы . . . . . . . . . . . : 192.168.1.3

Простите... У вас разрешающие правила только для длоступа в LAN. Добавьте правило NAT pptp_server ip_pools_VPN wan all-nets

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

# Name Action Source interface Source network Destination interface Destination network Service
1 fromPPTPclients Allow pptp_server ip_pools_VPN lan lannet all_services
2 toPPTPclients Allow lan lannet pptp_server ip_pools_VPN all_services
3 to_wan NAT pptp_server ip_pools_VPN wan all-nets all_services

Добавил правило, пинги на внешние ресурсы ходят, спасибо. Но трасировка не идет на внешние ресурсы, помогите разобраться с трассировкой. И не понятно через какой шлюз удаленные клиенты выходят на внешние ресурсы. Предполагаю что через wan_ip (т.е. через внешний интерфейс wan_ip: 25.118.286.251). Прошу помощи в поставленой задаче т.е. чтобы весь трафик от удаленных клиентов шел через шлюз FW Traffic Inspectora (lan_ip: 192.168.1.5).

C:\Documents and Settings\Administrator>tracert mail.ru

Трассировка маршрута к mail.ru [217.69.128.44]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 * * * Превышен интервал ожидания для запроса.
11 * * * Превышен интервал ожидания для запроса.
12 * * * Превышен интервал ожидания для запроса.
13 555 ms 557 ms 539 ms mail.ru [217.69.128.44]

Трассировка завершена

Для трассировки добавьте правило
Allow pptp_server/ip_pools_VPN core/all-nets icmp-outbound
Чтобы работало и из LAN, сделайте еще одно аналогичное

Для выпуска клиентов через другой шлюз
1. Создайте альтернативную таблицу маршрутизации alt_traffic_inspector, добавьте в ней маршрут if lan, net all-nets, gw 192.168.1.5
2. Добавьте правило PBR pptp_server/all-nets any/all-nets all_services forward alt_traffic_inspector, return main
3. Добавьте правило allow pptp_server/ip_pools_VPN lan/all-nets all_services.
Это правило логически я так и не доосмыслил, возможно all-nets можно будет заменить на 192.168.1.5

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо, удаленные клиенты ходят через gw 192.168.1.5. Но проблема с трассировкой не решилась.

# Name Action Source interface Source network Destination interface Destination network Service
1 fromPPTPclients Allow pptp_server ip_pools_VPN lan lannet all_services
2 toPPTPclients Allow lan lannet pptp_server ip_pools_VPN all_services
3 ping_wan NAT pptp_server ip_pools_VPN wan all-nets all_services
4 tracert Allow pptp_server ip_pools_VPN core all-nets ping-outbound
5 tracert_lan Allow lan lannet core all-nets ping-outbound
6 PBR Allow pptp_server ip_pools_VPN lan all-nets all_services

При чем при трассировке локальной сети появляются два лишних хопа: (в IP Settings менял значение TTL min=1, не помогает)

C:\Documents and Settings\Administrator>tracert 192.168.1.3

Трассировка маршрута к ducat-pdc.office.ducat.kz [192.168.1.3]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 411 ms 413 ms 395 ms pdc.globo.ru [192.168.1.3]

Трассировка завершена.

C:\Documents and Settings\Administrator>tracert mail.ru

Трассировка маршрута к mail.ru [217.69.128.44]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 * * * Превышен интервал ожидания для запроса.
11 * * * Превышен интервал ожидания для запроса.
12 * * * Превышен интервал ожидания для запроса.
13 555 ms 557 ms 539 ms mail.ru [217.69.128.44]

Трассировка завершена