Доброго времени суток, друзья.

Прежде чем изложить суть проблемы, оговорюсь, что с теорией и практикой сетей у меня - беда, я в основном занимаюсь СУБД и виртуальной инфраструктурой, но из компании нашей уволился "сетевик", когда и будет ли новый - не ясно, а пока напрягли меня такой вот задачкой...

Имеем - сеть 174.19.9.0/24
DES-3052P
DFL-800 (основной шлюз, 174.19.9.247)
DFL через WAN1 выходит и раздает сетке интернет.
В нашем офисе собираются разместить сотрудника "дружественной" конторы, который от нашей сетки должен быть изолирован, но тем не менее иметь выход во внешний мир через наш DFL, причем этот выход ему должен быть разрешен только на определенный пул адресов в интернет и только на определенные порты ( IP 197.16.32.4 и 195.56.78.9, порты UDP 9000 и 9021).
На DES-3052P на портах 44 и 46 прописал VLAN=2, поскольку из-за одной станции перекраивать всю сетку не очень хочется, то отдал этой станции статический IP 174.19.9.17 и воткнул ее в порт 44 на DES-3052P.
А как дальше ? Как мне этого "товарища" с VLAN=2 протолкнуть на наш DFL и выкинуть во внешний мир на его IP 197.16.32.4 и 195.56.78.9, порты UDP 9000 и 9021 ? Так мало того, еще требуют, что бы я исключительно для него полосу пропускания подрезал до 512 kbps... Такое возможно ?
Заранее благодарен всем откликнувшимся, готов рассмотреть более правильные и изящные решения этой задачи
Еще раз - заранее огромное спасибо !

Ну я бы все-таки выделил ему отдельную подсеть. Мне было бы так проще не запутаться. Действительно, отдельный VLAN повесить на LAN интерфейс DFL. Т.е. с LAN порта в транк на коммутатор будет уходить нетегированная общая сеть и тегированная "дружественная". Для друж. компа вывести нетегированный порт VLAN с коммутатора. правила на выход в инет. Правила на обмен между этим и сетями не прописывать. Поэтому и обмен будет запрещен. А тупо зарезать скорость для него - это самая простая операция на шейпере DFL.

Расписывать все подробно нудно. Спрашивайте.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо большое за участие !
Если можно, хотелось бы постепенно и пошагово.
Итак, воткнули станцию в порт 44 с VLAN=2 на DES-3052P. DES-3052P подсоединен на LAN интерфейс DFL. В интерфейсах DFL создаю новую запись для VLAN.
Имя: F_LAN
Интерфейс: LAN
Идентификатор VLAN: 2

А дальше как ?
Что писать в:
IP-адрес
Сеть
Основной шлюз ?
И нужна ли галка "Включить прозрачный режим" ? У меня есть подозрения, что нужна - но лучше спросить

Самое простое - выделите отделяемому товарищу новую подсеть (отличную от lannet) - заведите ip, net объекты в Objects > Address book > InterfaceAddresses
И эти объекты выбирайте в параметрах VLAN
Далее, в Rules > IP rules делайте NAT правила с VLAN по аналогии с lan_to_wan, но с ограничением по destination network

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А оставить его в сетке 174.19.9.0/24 с IP 174.19.9.17 нет никакой возможности ?

Ну пусть будет сетка 175.19.9.0/24 с IP 175.19.9.17

Имя: F_LAN
Интерфейс: LAN
Идентификатор VLAN: 2
+++++++++++++++++++++++++
IP-адрес: Какой ? Чего это будет IP-адрес ? "Дружественного" компа ? Или это будет "виртуальный" IP интерфейса VLAN на DFL ?
Сеть: lannet_vl2 (=175.19.9.0/24)
Основной шлюз: Какой указывать ? 174.19.9.17 ? Или "виртуальный" IP интерфейса VLAN на DFL ?

И еще: в сетевых настройках "дружественного" компа указываем IP=175.19.9.17, DNS - то, что дал нам провайдер, а вот шлюз какой указывать ? Вот тут я как-то подзапутался...
С правилами LAN-WAN в общем и целом понятно, возможно разберусь и с шейпингом...
А вот можно на основе правил дать возможность "дружественному" компу с IP=175.19.9.17 получать обновления с сервера WSUS (статический IP 174.19.9.9) из моей сетки 174.19.9.0/24 и больше ничего не видеть в ней ?

Да, глупые вопросы, конечно, но я сразу предупреждал - я не "сетевик", уж извините

Погодите-ка. Ваша сеть - 174.19.9.0/24 - это сетка белых адресов? Именно поэтому вы хотите чтоб этот комп был в данном диапазоне?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Нет. Адреса тут не причем. Бог с ней, с сеткой. Пусть у "дружественного" компа она будет другая - 175.19.9.0/24 и у этого компа будет IP 175.19.9.17, ничего страшного в принципе.
Главное - дальше как ...

Если у вас действительно такие адреса в сети, то они не серые.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

На адреса внимания не обращаем, главное - процесс

Друзья, откликнетесь !
Не выходит ничего…
Что делал:
1. Есть 2 сетки: основная - 174.19.9.0/24, сеть VLAN=2 - 175.19.9.0/24
2. На DES-3052P на 44-м порту настроен VLAN=2, в него подсоединяется компьютер.
3. Настройки компьютера:
IP 175.19.9.1
Маска 255.255.255.0
Шлюз 175.19.9.254
DNS – IP, указанные провайдером
4. DES-3052P подсоединен на LAN интерфейс DFL-800.
5. IP DFL в основной сети - 174.19.9.247
6. В адресной книге DFL пишем:
VLAN1_IP=175.19.9.254
VLAN1_NET=175.19.9.0/24
RemoteVPN_1= 197.16.32.4
RemoteVPN_2= 195.56.78.9
Группа RVPN включает в себя RemoteVPN_1 и RemoteVPN_2
Группа Service_For_VPN включает в себя WSUS_IP=174.19.9.9 и KAV_IP=174.19.9.11 - для обновления ОС и антивируса на компьютере в VLAN=2
7. В Сервисах создаем новый сервис GSVPN для разрешения обращения к адресам RemoteVPN только по определенным портам:
Имя: GSVPN
Тип: TCP/UPD
Источник: 0 – 65535
Назначение: 9000, 9021
8. В Интерфейсах создаем интерфейс VLAN:
Имя: VLAN_1
Интерфейс: lan
Идентификатор VLAN: 2
IP-адрес: VLAN1_IP
Сеть: VLAN1_NET
Основной шлюз: нет
Включить прозрачный режим: Нет
9. В IP-правилах создаем 2 правила: для выхода VLAN-компьютера во внешний мир и для взаимодействия VLAN-компьютера с 2-мя компьютерами из основной сети:
Правило № 1:
Имя: VPN_Canal
Действие: NAT
Сервис: GSVPN
ИНТЕРФЕЙС
Источник: VLAN_1
Назначение: WAN1
СЕТЬ
Источник: VLAN1_NET
Назначение: RVPN
Правило № 2:
Имя: VLAN_Services
Действие: Allow
Сервис: all_tcpupd
ИНТЕРФЕЙС
Источник: VLAN_1
Назначение: lan
СЕТЬ
Источник: VLAN1_NET
Назначение: Service_For_VPN

Применяю конфигурацию, пытаюсь пропинговать VLAN-компьютер с DFL по 175.19.9.1 – пакеты не идут. Пытаюсь пропинговать DFL c VLAN-компьютера – пишет: «Заданный узел недоступен». Где я делаю что-то не так, будьте добры - посмотрите ?
Заранее – огромное спасибо !

Все у вас правильно
Чтобы DFL пинговался, надо сделать еще правило
Allow VLAN_1/VLAN1_NET core/VLAN1_IP ping-inbound

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Хм... Не работает... Что-то мне подсказывает, что я неправильно настраиваю DES-3052P...
1. Все порты на DES-3052P (кроме 44 и 46) входят в VLAN default с VId=1
2. Чек-бокс Tag у этих портов не проставлен.
3. 2 порта - 44 и 46 объединены в VLAN Test с VId=2. Они не входят в VLAN default с VId=1, чек-бокс Tag у портов 44 и 46 проставлен, т.е. они - тегирующие (если я правильно понял).
4. DES-3052P подключается в LAN-интерфейс DFL из 48-го порта, принадлежащего VLAN default с VId=1

Теперь вопрос: если я правильно понимаю, 48-й порт DES-3052P должен принадлежать обоим VLAN: и default с VId=1, и Test с VId=2. Плюс к этому - он должен быть тегирующим, т.е. для 48-го порта мы должны отметить галкой чек-бокс Tag. Я правильно понял ? Или это настраивается как-то по-другому ?

Еще раз - большое спасибо за отклик, и еще раз - извините за непонятливость: как я уже писал, я не "сетевик"

Неа, не работает... И с 48-м портом пробовал - бесполезно...

что бы у вас работало . у вамс один из ваших портов на свиче должен быть TAG а другие в этом влане Аcsees.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

44, 46 (клиентские) порты должны иметь VLAN 2 untagged, при этом порт в сторону DFL должен иметь VLAN 2 tagged

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc