каскад из 2 dfl860e

wan2 router1 подключен к lan router2

router1. lan 192.168.11.0 wan2 192.168.12.2
правилами разрешен (allow) icmp lan->wan2 и wan2->lan

router2 lan 192.168.12.0
добавлен маршрут lan 192.168.11.0 192.168.12.2
и правила разрешающие(allow) icmp lan ->192.168.11.0 и 192.168.11.0 ->lan

с компов из сети 192.168.12.0 в 192.168.11.0 пинг идет
а наоборот нет -- вот такая фигня в логах router2

Warning RULE 6000051 Default_Rule ICMP lan 192.168.11.x 192.168.12.1 ruleset_drop_packet drop

last update:
нашел решение -- поставить на роутере1 в правила nat в направлении wan2 -- это вроде как лучшее решение с точки зрения безопасности

"слышал звон" при гуглении и видел промелькавшие строчки в логах о друпе по причине того что роутер 2 не полностью контролирует соединение
на сколько я понял если в 12 подсеть пакет приходит минуя роутер2 непосредственно с wan2 роутера1 то обратно он идет уже через роутер2 и тот его рубит как непарный

как разрешить пропуск таких непарных пакетов ?? это для меня щас главный вопрос тонкой настройки безопасности
копаю access rules

Если хотите чтобы работало в такой странной конфигурации, замените Allow на Forward Fast на router 2.

Allow быстрее чем Forward Fast и обеспечивает двунаправленный обмен в рамках установленного соединения.

Fwd Fast - нет.

Кто-то уже писал о неработающем пинге, если встречный работает. Не знаю, победили ли и фиг знает почему так.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это предупреждение означает, что нет разрешающего правила и рубит этот трафик по умолчанию.

Если хотите пинговать DFL, должно быть правило для этого.
типа
allow lan lannet core lan_ip ping-inbound

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

>>upd -- минуту назад обратил внимание что не идет если уже запущен встречный пинг а так работает
не работает из 11 в 12 -- временная работа следствие глюка при изменении настроек

также работает пинг с самого роутера1 тк он входит в 12 подсеть
"слышал звон" при гуглении и видел промелькавшие строчки в логах о друпе по причине того что роутер 2 не полностью контролирует соединение
на сколько я понял если в 12 подсеть пакет приходит минуя роутер2 непосредственно с wan2 роутера1 то обратно он идет уже через роутер2 и тот его рубит как непарный

как разрешить пропуск таких непарных пакетов ??

пытаюсь подобрать настройки чтобы это сообщение выдавалось стабильно

придумал решение -- поставить на роутере1 в правила nat в направлении wan2

Именно это и делает Fast Forward. Access rules и NAT трогать не надо.

Лучше расскажите, зачем вы такое чудо чудное замутили на двух DFL. Подозреваю, даже уверен, что можно обойтись одним.

Давайте сделаем все на одном, а второй, за ненадобностью, вы мне пошлете.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

в конторе четыре подсети и 3 канала инета

выслать могу только фикус -- самому такой девайс пригодится

и все таки очень интересны его правила -- рубит 860е всё с плеча -- только успевай разрешать
Warning IP_PROTO 7000014 TTLOnLowMulticast UDP lan 229.111.112.12 59448 3071 ttl_low drop

Ну дак один DFL-860E для этого в самый раз. Если его производительности хватит на 3 канала.
Какова, кстати, их скорость? Входящая и исходящая, поскольку не всегда провайдер даёт одинаковую.

3 инет канала - wan1 wan2 dmz
4 подсети - 4 Vlan'а привязанных к портам LAN.

или
DFL1 - 1 самый быстрый инет и 2 больших подсети
DFL2 - 2 инета и 2 подсети

А между DFL-ями канал для межсетевого обмена и для резервирования инета.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.