Доброго времени суток уважаемые форумчане.
Прошу непредвзято рассудить следующую ситуацию:

Существует сеть где шлюзом выступает DFL-260E - 192.168.10.1 для сети lan 192.168.10.0/24 остальные сети пока не важны.
В связи с расширением нашего комплекса приехал подрядчик и установил еще кучу железок от Cisco где шлюзом выступает адрес 192.168.10.19 и на этой железке крутяться vlan'ы: 10 продолжение моей сети 192.168.10.0/24 назовем ее DATA, vlan 25 172.25.0.0/16 назовем ее WIFI, и vlan 30 192.168.30.1 назовем ее MGMT. На DFL созданы роуты:
1. lan 192.168.30.0/24 gw 192.168.10.19
2. lan 172.25.0.0/16 gw 192.168.10.19
Далее создал папку IP правил lan_to_lan где прописал следующие правила: allow-standart/NAT/lan/lannet/lan/WIFI/all_tcpudp и allow_ping/NAT/lan/lannet/lan/WIFI/all_icmp, такой же блок правил и для MGMT, после этого появился пинг с локальных машин из сети DATA в сети WIFI и MGMT.
А так же созданы IP правила в разделе lan_to_wan подобно allow_standart/NAT/lan/WIFI/wan/all-nets/all-services, Для сети MGMT создано такое же правило. После создания этих правил в сетях WIFI и MGMT появился интернет, в сети DATA был и до этого.
Теперь собственно проблема: ICMP из моей сети DATA 192.168.10./24 в сети WIFI и MGMT ходит замечательно, и пинг и трасерт, а вот если пинговать из сетей DATA и WIFI то шлюз 192.168.10.1 не пингуется, да и вообще ничего из этих сетей не пингуется и не трасируется, хотя по сети DATA все работает. Подрядчик утверждает что если ставить вместо шлюза 192.168.10.1 ноутбук то все ICMP пакеты ходят нормально, т.е. дело в моем фаерволле. Надеюсь на ваши советы, заранее спасибо.

Понять что-либо в Вашем описании сложновато (пишите только то, что относится к теме!), но проблемы ICMP через DFL устраняются выполнением двух действий:
1) В System / Advanced Settings / IP Setting установить TTL Min=1.
2) В сервисе, на который ссылается правило, разрешающее ping, установить галку "Pass returned ICMP error messages from destination". Обычно рекомендуют добавить правило с сервисом ping-outbound, в котором эта галка стоит по умолчанию, но это не обязательно. Вы можете использовать all-icmp или даже all-services, если эту галку там поставите.

Возможно действительно несколько сбивчевое описание, попробую в картинке все рассказать.
TTL=1 уже стоит чтобы traceroute ходил, галочка не помогла.

Могу только предположить, что галочка стоит не там, скажем, Вы думаете, что некоторое правило у Вас только для выхода в Интернет, но т. к. Интернет обозначен как all_nets под него прекрасно может попасть локальный трафик, если это правило выше, а галочки там нет. Все равно непонятно, зачем Вам там так сложно нагородили, разные шлюзы, DFL в компании с Циской, неохота подробно разбираться .

делайте
allow-standart FwdFast lan/lannet lan/lan_nets all_services
где all_services со включенной галкой "Pass returned ICMP error messages from destination"
lan_nets - группа WIFI, MGMT сети

вместо

allow-standart NAT lan/lannet lan/WIFI all_tcpudp
allow-standart NAT lan/lannet lan/WIFI all_icmp
и все иные подобные.

Кроме того, ваши правила из lan_to_wan выглядят неверно и выход в инет не обеспечивают.

Вместо четырех правил из lan_to_lan можно обойтись одним.

Лучше делать маршрутизацию на одном общем устройстве, будь то DFL или Cisco, рутер или коммутатор. А вы, видимо, в этом не очень ...

Рациональнее делать группу сетей и одно правило для нее, чем по одному правилу на каждую сеть.

"Эта железка от Cisco", видимо, Cisco Catalyst 3750 - коммутатор 3-го уровня. Я бы ее и сделал основным шлюзом для всех сетей. А выход в инет через DFL в отдельной подсети. Если в этом есть необходимость, ввиду наличия Киски и вероятной возможности реализации на ней.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM
Вот с Forward Fast трассировки-то и не будет -- DFL настолько торопится в этом случае, что забывает декрементировать TTL . Вообще, я бы категорически не советовал использовать Forward Fast, исключая может быть только если Вы делаете для себя и точно знаете что делаете. Ну, например, вот такая последовательность правил:
FwdFast net2 net1 all_services
Allow net2 net1 rdp
приводит к тому, что из net2 невозможно подключится по сервису терминалов к серверу в net1. К тому же мануал уверяет, что FwdFast на самом деле медленне, чем Allow.
А вот Allow вместо NAT -- согласен, внутри сети под одним администрированием наты ни к чему, но в обсуждаемой проблеме вряд-ли повинны.

С несколькими шлюзами в одной подсети нормально сделать можно только с FwdFast. Я точно знаю, о чём говорю, и что происходит. Но читать краткий экскурс по TCP/IP не хочу.

Трассировка будет.

В целом согласен. И это тот самый случай.

Это вообще странная последовательность правил. И мне конструкция непонятна.

Так и есть.

Они и есть прямая причина.

Я выше уже говорил, что придерживаюсь концепции "магистраль в точке". И на месте топик-стартера её бы и реализовал.

Еще есть для этой не очень красивой конфигурации решение - по DHCP раздать статический маршрут на WIFI и MGMT сети. Но опять же, это больше похоже на костыли, чем на хорошее решение.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

У меня с Forward Fast не работала. Но, может в более новых прошивках уже исправили.


В чистом виде это, конечно, бессмыслица, просто тестовый пример, когда разрешающие правила приводят к запрету. Но, когда я пытался использовать FF и несколько раз наткнулся на подобные коллизии (конечно, в более сложной конфигурации) это убедило меня, что FF совместно с Allow лучше не использовать. Конечно, всё можно вылизать, но конфигурация должна быть еще надежной и понятной, особенно если работать с ней в дальнейшем будете не (только) Вы. FF этому не способствует.


Чего только люди ни придумают, чтобы не использовать маршрутизатор для маршрутизации .

P.S.
Только теперь понял, о чем это Вы . Тогда понятно, почему nat. Будет работать либо с nat, либо с ff, хрен редьки не слаще.

С NAT в такой конфигурации работать не будет. Собственно у автора темы именно поэтому и не работает.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, Вы правы. Топикстартеру нужно, чтобы работало в обе сторны, меня смутил упор на ICMP (в сочетании с известными проблемами с ICMP в дефлотной конфигурации DFL), но здесь дело не в этом. Разве что сделать NAT и на циске, но лучше все -таки вытащить канал между маршрутизаторами на отдельную адресацию. А еще лучше оставить только один маршрутизатор .