Здравствуйте, друзья
Имеем (картинки прилагаются):
1. Межсетевой экран DFL-860e 2.27.05.32-16775 Oct 18 2011
2. Cisco 2921/K9
3. Некие маршрутизаторы, назовём их GW NN
4. Сети с адресами YYY.YYY.YYY.YYY, AAA.AAA.AAA.AAA, BBB.BBB.BBB.BBB и QQQ.QQQ.QQQ.QQQ
5. Некие железки живущие в этих сетях за маршрутизаторами GW NN
6. Всё это дело собрано в кучу на VPN'ах и VLAN'ах.
Как всё собрано:
Центральным маршрутизатором выступает DFL-860e, на нём поднято 2 VPN сервера, которые принимают клиентов (маршрутизаторы GW NN) из Интернета и сети BBB.BBB.BBB.BBB на WAN 1 и WAN 2 соответственно. Эти клиенты получают адреса из сети QQQ.QQQ.QQQ.QQQ. В DFL'е указано, что за этими клиентами живут железки из сети YYY.YYY.YYY.YYY.
Cisco 2921/K9 соединена с DFL-860e по VLAN'у.
Так же к DFL подключена сеть AAA.AAA.AAA.AAA в порт lan02.
Во всех маршрутизаторах прописаны статические маршруты, т.е. все знают кто где живёт и куда ему пакеты посылать. Все разрешающие правила для всех направлений в DFL'е прописаны. Всё подключается и взаимодействует.
НО есть один непонятный для меня косяк. Когда я из сети AAA.AAA.AAA.AAA пытаюсь попасть на вебморду или используя специализированное ПО подключиться к железке находящейся за Cisco 2921/K9 собственно не получаю ответа, хотя пинг идёт, через телнет попадаю. Поставил tcping.exe, думал режется tcp трафик, ан нет, проходит.
Пытаюсь тоже самое сделать с VPN клинетов - всё отлично. На железки и сервисы VPN клиентов тоже без проблем попадаю. В обратную сторону из-за циски в AAA.AAA.AAA.AAA тоже всё прекрасно ходится.
Кроме разрешающих правил есть ещё правила позволяющие пользователям и железкам из AAA.AAA.AAA.AAA попадать в Интернеты через NAT.
Второй день сижу бьюсь, всё без толку. Если подключаю рабочее место к цисаку, то тоже всё проходит. Включил логи на DFL. Получаю только это:
Код:
12-25-2013 22:54:39 Local0.Info 10.10.1.251 [2013-12-25 22:54:38] FW: CONN: prio=1 id=00600001 rev=1 event=conn_open rule=from-lan-to-cisco conn=open connipproto=TCP connrecvif=lan connsrcip=10.10.1.18 connsrcport=51806 conndestif=Vlan201 conndestip=10.10.96.66 conndestport=7676
12-25-2013 22:54:31 Local0.Info 10.10.1.251 [2013-12-25 22:54:31] FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close rule=from-lan-to-cisco conn=close connipproto=TCP connrecvif=lan connsrcip=10.10.1.18 connsrcport=51788 conndestif=Vlan201 conndestip=10.10.96.66 conndestport=5650 origsent=500 termsent=500
12-25-2013 22:54:27 Local0.Info 10.10.1.251 [2013-12-25 22:54:27] FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close rule=from-lan-to-cisco conn=close connipproto=TCP connrecvif=lan connsrcip=10.10.1.18 connsrcport=51781 conndestif=Vlan201 conndestip=10.10.96.66 conndestport=7676 origsent=1924 termsent=4037
12-25-2013 22:54:19 Local0.Info 10.10.1.251 [2013-12-25 22:54:19] FW: CONN: prio=1 id=00600001 rev=1 event=conn_open rule=from-lan-to-cisco conn=open connipproto=TCP connrecvif=lan connsrcip=10.10.1.18 connsrcport=51805 conndestif=Vlan201 conndestip=10.10.96.66 conndestport=5650
Подскажите в какую сторону копать.
Вход
Регистрация
FAQ
Поиск
