Доброго всем здравия! Прошу помощи при настройке межсетевого экрана DFL-860E. Распишу все подробности.

Мой экран DFL является единственным "шлюзом" в моей локальной сети. Подключенный интернет-провайдер тоже один, и он подключен на разъем WAN1. Разъемы DMZ и WAN2 пустые. Экран DFL подключается в интернет как L2TP-клиент. И это подключение держится стабильно, все компьютеры в моей локальной сети без проблем выходят в интернет по DNS (и по IP разумеется тоже). Также без проблем в локальной сети (изнутри наружу и обратно) работают сервисы SMTP, POP3, FTP, NTP, HTTPS. Помимо прочего, в лок.сети поднят WEB-сервер (то есть внутренний WEB-сервер), который всем (кому надо) виден с наружи. Есть еще в лок.сети SQL-сервер.

Задача состоит в том, чтобы дать доступ к этому SQL-серверу ТОЛЬКО тем сторонним интернет-пользователям, которые прошли авторизацию на PPTP-сервере.

Я на экране DFL "поднял" PPTP-сервер. Любые внешние пользователи без проблем подключаются к нему через своих разных провайдеров, с использованием логина и пароля (которые я им дал). В веб-интерфейсе экрана (в меню "Статус/Аутентификация пользователя") я чётко вижу Кто и Когда подключился, какой IP присвоен. Сами пользователи подтверждают, что соединение проходит без ошибок и "тормозов", и держится стабильно (они подключались из Windows XP и 7).

А вот пакеты SQL не проходят! Мне кажется, проблема кроется в настройке IP-правил экрана. Я пробовал перенастраивать их по-разному, но пакеты все равно не проходят от VPN-пользователей до моего SQL-сервера. Однако, в "журнале" экрана видно, что пакеты sql (на порт 1433) приходят на экран и "застревают". При этом, по локальной сети SQL-сервер прекрасно работает.

Версия официальной прошивки экрана - 2.27.06.10

Скриншоты выложу в следующих сообщениях с комментариями.

дело в том что в сервис ALL- SERVISE . не входит порт 1433 , создайте правило с сервесом на порту 1433

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

На снимке белым цветом закрашен мой внешний физический (то есть постоянный) IP адрес. Обратите внимание на сообщения LocalUndelivered.

Если у Вас клиенты соединяются по PPTP, Вам не нужно делать NAT/SAT ("проброс портов") на Ваш SQL сервер. Нужно правило Allow с Source Interface = имя Вашего PPTP-сервера. Фактически у Вас появляется новый (туннельный) интерфейс. Клиент должен идти на внутренний адрес SQL-сервера, а не внешний Интернет-адрес.

В DFL-860E в меню "Объекты/Сервисы" уже есть изначально сервис ms-sql-s, который настроен на порт 1433. Отдельно я пока по sql ничего не создавал. И этот сервис прописал в IP-правилах и в правилах динамической маршрутизации (скрины маршрутов выложу чуть позже). Думаю, сюдя по логам, sql пакеты маршрутизацию проходят, а потом "застревают" где-то на IP правилах (скрины IP правил тоже будут чуть позже).

На снимке строчка №17 не задействована, просто осталась от старых экспериментах.

Спасибо. Уже пробовал, но попробую снова, с нуля перенастрою завтра утром. Может в процессе я что-то упустил. Вообще я руководствовался инструкцией http://www.dlink.ru/ru/faq/85/479.html

Но увы, тогда не получилось. Из-за того (как я думал по логам экрана), что тогда сервис ms-sql-s не был разрешен в правилах динамической маршрутизации.

А на скрине покажу что я в итоге "наворотил" в четных попытках чего-то добиться. Там папка VPN содержит все правила, которые касаются только моего pptp-сервера.

Здесь, как видно, первое правило направляет пакеты изнутри наружу. Второе правило - снаружи во внутрь.
Сервис-группа "MY" создана мною и включает в себя следующие сервисы:
ftp-passthrough, gre-encap, http, https, ms-sql-s, ntp, pop3, pptp-ctl, smtp.

P.S. Одной строчкой ниже (на снимке) есть пункт меню "Правила динамической маршрутизации", там абсолютно пусто.

Показываю статические маршруты экрана. В меню "Маршрутизация/Таблицы маршрутизации" есть строчка "route_pptp" - она отключена! Использовалась всего лишь для очередных экспериментов.

!! Обращаюсь к alex63: в моём случае для pptp-сервера нужно ли прописывать отдельные статические маршруты в эти таблицы? Или достаточно тех динамических маршрутов, которые экран создает сам (когда очередной VPN-пользователь подключается)? Эти дин.маршруты своего pptp-сервера я видел в меню экрана "Статус/Маршруты".

Какие нахрен маршруты?! У Вас интернет и прочие сервисы прекрасно работают и этого там достаточно!

Смотрите аналогичный пример:http://forum.dlink.ru/viewtopic.php?p=883647#p883647

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Спасибо, попробую завтра утром, и сразу отпишусь. Но сейчас пора уходить. Всем спасибо за помощь друзья

Страшнее всего выглядит страничка с правилами. Как я и предполагал, Вы не представляете себе разницы между пробросом порта из интернета и VPN-подключением. В последнем случае не должно быть никаких NAT/SAT, только Allow и никаких внешних интерфейсов и адресов, только pptp-server и внутренние адреса. И не городите кучу правил по принципу: какое-нибудь да сработает! Ахинея, оказавшаяся выше, может помешать работе правильных вещей ниже (именно потому обычно советуют поставить "не желающее работать" правило в самый верх).

Почти правильное правило у Вас под №5, только NAT замените на Allow, остальные для Вашей задачи не нужны, однако советую еще сделать правило для ICMP, для диагностики.

А явные маршруты, как и альтернативные таблицы маршрутизации, Вам, вероятнее всего, не нужны (по крайней мере, для поставленной задачи они не нужны).

Итак, всё получилось. SQL пакеты обрабатываются только от VPN-пользователей, как и было задумано.

Главная причина "трабла" - моё неверное понимание работы pptp-сервера на DFL-860E. По совету товарищей MTRX и alex63, я изменил настройки IP правил для VPN пользователей, снимок прилагаю. На снимке видна мною созданная сервис-группа "VPN", в которую входят сервисы: gre-encap, ms-sql-s, pptp-ctl. А из сервис-группы "MY", которая работает в меню "Правила маршрутизации" (снимок был ранее показан), удалил сервис ms-sql-s, так как он там действительно не нужен. Во время достижения "правильного понимания pptp", я умудрился разок "уронить pptp"; со стороны удаленных пользователей возникали vpn-ошибки 619, 691, 800 и т.д. Но сейчас всё работает как часы.

Всем большое спасибо за работу!

P.S. мысли в слух *я по сути вернулся к своим первоначальным настройкам pptp, но тогда успеха не было, странно, наверное что-то упустил ... или это была другая версия прошивки ... *

ТЕМА ЗАКРЫТА

Если Вы объединяете gre-encap, ms-sql-s, pptp-ctl в один сервис, значит полного понимания работы PPTP так и не наступило . gre-encap и pptp-ctl (уже объединенные в pptp-suite) -- это протоколы PPTP. Они ходят через Интернет, но в Вашей конфигурации никаких правил для них не надо (DFL пропускает их сама по дефолту, если создан PPTP-сервер). ms-sql-s -- это Ваша "полезная нагрузка" внутри туннеля, через голый интернет она ходить не должна.

Да, я знаю что есть сервис-группа pptp-suite. В моём случае это не принципиально. Но вы ошибаетесь насчет того, что "DFL пропускает .. по дефолту, если создан pptp-сервер". Я пробовал убирать из сервис-группы VPN сервисы gre-encap и pptp-ctl, и тогда удаленные пользователи не могли подключиться - у них почему-то возникала ошибка №619 на стадии "проверки имени и пароля". Забавно. Хотя, я допускаю что (конкретно в моем случае) какие-то настройки DFL могут мешать. Ведь у меня много всего работает через экран