добрый день уважаемые форумчане.
столкнулись с очень странной историей:
есть две dfl-260E - необходимо сделать ipsec между ними

1 сеть 192.168.0.0/22
wanip внешний
2 сеть 192.168.4.0/24
wanip диначиеский, с привязкой к маку.

задача вроде тривиальна. До этого поднимали тоннели между 800,260E, 860E

ipsec тоннель поднялся.

запустили пинги с хоста 192.168.3.100 пинги на хост 192.168.4.100
и обратно с 192.168.4.100 на хост 192.168.3.100 пинги не идут
обратились к шаре 3.100 и 4.100 с разных сторон тоннеля - все отдается (то есть smb проходит)

посмотрели на предыдущей нашей настройке, сверили все ок.
запустили тамже(на других тоннелях) пинги к 3 ресурсам в локалных сетях с двух сторон одновременно - нет проблем ( 800 + 260E)

прочитали viewtopic.php?f=3&t=160974
сделали правило any\all-net any\all-net
пинги пошли с 3.100 на 4.100 одновременно - но как мне кажется это грабли.
причем пинги пошли только если 1 устройство пингует другое, если поставить как в прошлом варианте
пинги к 3 ресурсам в локальных сетях с двух сторон одновременно - не пингуется

до этого у нас никогда не нужно было делать таких правил чтобы видеть пинги с двух сторон.
зачем нужно это правило? и почему могут не идти пинги?

Вопрос:
может ли быть дело из-за (2 сеть 192.168.4.0/24 wanip динамический с привязкой к маку)?
ARP опубликованы с 2 сторон.

И второй вопрос по 1С
На ресурсе 3.100 стоит 1с на постгере как сервер

коннекчусь с 192.168.4.100 на шару 3.100 - все ок
но если через 1с стучусь на имя сервера (DNS нет) serv1c - пишет

server_addr=1csrv descr=ошибка сетевого доступа к серверу
windows Sockets - 11004(0x00002AFC) the request name is invalid
выполняется ожидание возможности запуска
...............

стучусь по адресу 192.168.4.100\имя базы
тоже самое

прописали сопоставление хоста 192.168.4.100 имени serv1c пишет:
server_addr=tcp://1csrv:1541 descr=192.168.3.100:1541 ошибка сетевого доступа к серверу
windows Sockets - 11004(0x0000274C)
выполняется ожидание возможности запуска

возможноли запустить 1с клиент-сервер через тоннель по адресу или имени
или только создавать терминал???

может можно пробросить порты какие-то в тоннели?

очень на Вас рассчитываю.
спасибо.

выкладывайте настройки туннелей и таблицу маршрутизации ,а также правила в туннелях. наверняка в правилах там all-nets

100% проблема в правилах, тк у меня работает сеть намного больше и мудреней

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Выложу пока его нет.
Первая дфлька.
Маршрутизация
1 Route IPv4 l50 l50_lan 80 No Direct route for network l50_lan over interface l5...
2 Route IPv4 wan wannet 100 No Direct route for network wannet over interface wan...
3 Route IPv4 wan all-nets wan_gw 100 No Default route over interface wan.
4 Route IPv4 dmz dmznet 100 No Direct route for network dmznet over interface dmz...
5 Route IPv4 lan lannet 100 No Direct route for network lannet over interface lan...

IPSec

General:
Name l50
Local Network: lannet 192.168.4.0/24
Remote Network: l50_lan 192.168.0.0/22
Remote Endpoint: l50_wan
Encapsulation mode: Tunnel
IKE Config Mode Pool: (None)

Keep-alive:
Auto

Advanced:
Add route for remote network установлен метрика 80.

Rules:
1 l501c Allow l50 l50_lan lan lannet server_1c(1539-1595)
2 l501c Allow lan lannet l50 l50_lan server_1c
5 l50 Allow l50 l50_lan lan lannet all_services
6 l50 Allow lan lannet l50 l50_lan all_services

Вторая:

Route:
1 Route IPv4 l37 l37_lan 80 No Direct route for network l37_lan over interface l3...
2 Route IPv4 wan wannet 100 No Direct route for network wannet over interface wan...
3 Route IPv4 wan all-nets wan_gw 100 No Default route over interface wan.
4 Route IPv4 dmz dmznet 100 No Direct route for network dmznet over interface dmz...
5 Route IPv4 lan lannet 100 No Direct route for network lannet over interface lan...

IPSec:
Name: l37
Local Network: lannet 192.168.0.0/22
Remote Network: l37_lan 192.168.4.0/24
Remote Endpoint: l37_wan
Encapsulation mode: Tunnel
IKE Config Mode Pool: (None)

Keep-alive:
Auto

Advanced:
Add route for remote network установлен метрика 80.

Rules:
1 l371c Allow l37 l37_lan lan lannet server_1c
2 l371c Allow lan lannet l37 l37_lan server_1c
7 l37 Allow l37 l37_lan lan lannet all_services
8 l37 Allow lan lannet l37 l37_lan all_services

1) 1С: Бродкасты, используемые Netbios NS, не проходят через маршрутизаторы.
2) Ping: Для того, чтобы везде были пинги/трассировки необходимо:
- Advanced Settings/IP Settings/TTLMin = 1
- Правило, разрешающее ICMP, в сервисе которого стоит "Pass returned ICMP error messages from destination" (это может быть и all-services, это не важно)

по 1С мне понятно. получается только терминал.
хотя это странно - неужели нельзя без бродкастов?
а вот по пинг не понял
- Advanced Settings/IP Settings/TTLMin = 1
- это я сделал.
а вот правило мне не понятно?
я же спрашивал почему в дургих конфигурациях правил не нужно, а тут нужно?
и про ваше правило:
all-services не группа, это просто все порты по сути.
а в icmp такой настройки не нашел(
- Правило, разрешающее ICMP, в сервисе которого стоит "Pass returned ICMP error messages from destination" (это может быть и all-services, это не важно)

Можно: WINS-сервер.

В Object/Services в любой сервис зайдите и увидите. В ping-outbound уже стоит по дефолту, поэтому обычно советуют для него создавать правила.