Доброе время суток!
Помогите пожалуйста, в поиски и исправлении проблемы.
Имеется "девайс" DFL-260e, на нем настроены 2 интерфейса:
1) LAN
name: lan
lan_ip: 192.168.15.3
lannet: 192.168.15.0/24
Default Gateway: none
2) DMZ
name: dmz
dmz_ip 192.168.50.1
dmznet 192.168.50.0/24
Default Gateway: 192.168.50.1
в обоих подсетях есть хосты в частности
в подсети dmz хост 192.168.50.10
в подсети lan хост 192.168.15.34

В ветке Rules создана папка dmz_rule со следующими правилами:
lan_to_dmz Allow any/lannet any/dmznet
dmz_to_lan Allow any/dmznet any/lannet

Больше никаких дополнительных настроек не делал.
Вот в чем проблема: при попытке обратиться из сети dmz в сеть lan пинг проходит как до узла 192.168.15.34 так и до шлюза 192.168.15.3
При попытке обратиться из сети lan в сеть dmz пингуется только шлюз 192.168.50.1
при пинге хоста 192.168.50.10 в логе conn_open (conn=open connsrcid=1 conndestid=1)
conn_close (conn=close connsrcid=1 conndestid=1 origsent=240 termsent=0 conntime=24)
если попытаться постучаться Radmin`ом из lan в dmz в логе пишет: mismatching_tcp_window_scale
adjust (old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1)
Radmin настроен в обоих сетях.
Пробовал с разных компьютеров из подсети lan попасть в dmz - все никак.

Подскажите пожалуйста в чем может быть проблема.

С Уважением, Антон.

Могут мешать антивирусы/файрволлы на компах DMZ. или неправильно настроен основной шлюз.

Обходной путь:
lan_to_dmz NAT lan/lannet dmz/dmznet
dmz_to_lan NAT dmz/dmznet lan/lannet

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Оба компьютера под управлением Windows 7
Брандмауэр Windows отключен.
антивирус, фаервол отключен на эксперементальных пк, к тому же в другие удаленные подсети по iPSec оба компьютера лазят без проблем
настройки TCP\IP все соответствуют настройкам сетей на шлюзе. 24 маска, адресация из выделенного диапазона, шлюзы:
для сети lannet шлюз 192.168.15.3
для сети dmznet шлюз 192.168.50.1
маршруты на обоих пк правильные.

Через NAT тоже пробовал - доступа из lannet в dnznet нет.

Заметил ещё вот что, может это как-то поможет в решении проблемы:
При пинге с хоста 192.168.15.34 до хоста 192.168.50.10 на порту второго хоста линк мигает, то есть пакеты доходят до порта с хостом 192.168.50.10, но по видимому не возвращаются обратно, либо их что-то блокирует.

могут мешать другие правила.
покажите все

еще можно посмотреть вашу диагностику в логах и ее описание в руководстве.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Все правила:

ping_fw Allow lan/lannet core/lan_ip (ping-inbound)

папка lan_to_wan:
drop_smb-all Drop lan/lannet wan/all-nets (smb-all)
allow_ping-outbound NAT lan/lannet wan/all-nets (ping-outbound)
allow_ftp-passthrough_av NAT lan/lannet wan/all-nets (ftp-passthrough-av)
allow_standard NAT lan/lannet wan/all-nets (all_tcpudp)

папка IPSec:
lan-to-IPSec Allow lan/lannet IPSec-Lan-Group/IPSec_remote_net (all_services)
IPSec-to-lan Allow IPSec-Lan-Group/IPSec_remote_net lan/lannet (all_services)

папка dmz_rule:
lan_to_dmz Allow any/lannet any/dmznet (all_services)
dmz_to_lan Allow any/dmznet any/lannet (all_services)

сообщения из лога писал в первом посте, никакой другой информации там нет по этим сетям.
при обращении из подсети lan в подсеть dmz по Radmin (программа настроена в обоих сетях) в логе появляется сообщение
mismatching_tcp_window_scale - но в документации я ничего, кроме неправильного размера кадра я не нашел. Не знаю как исправить это.

Думаю, дело не в DFL а в компах в DMZ. Поменяйте их местами с компом из LAN.

Раз пинг в одну сторону проходит, значит со шлюзами и маршрутами все в порядке.

Или поставьте, для теста, со стороны DMZ любое тупое устройство, способное отвечать на пинг из удаленной сети.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

я вот читаю и думаю , в правилах lan-dmz почему ANY ?
почему не указать конкретные интерфейсы !?
я бы еще понял lan\all-nets dmz\all-nets и обратно .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо, идею понял, в dmz сети действительно один комп тестовый, на днях попробую туда маршрутизатор добавить и отпишусь по результатам.

Any в правилах для простоты. Где-то на форуме читал совет, что лучше не привязываться к чётким интерфейсам дабы схема легко читалась.
трафику ходить это точно не помешает, к тому же сеть lan никогда не окажется на интерфейсе dmz, даже если руками прописать все настройки TCP/IP

В DFL есть защита от спуфинга. Если за dmz поставить компьютер с "чужой" адресацией, то с него никуда ничего не пройдет до тех пор, пока Вы не пропишете в main маршрут на такие адреса или добавите Access Rule, так что any вполне допустимо и безопасно.

Я тоже отношусь к крайне правому радикальному крылу движения противников использования интерфейса any. Потенциально, это источник ошибок конфигурации и дырок в защите. Есть исключительно мало случаев, где, на мой взгляд использование интерфейса any оправдано.

Особенно сочетание any/all-nets.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

На вкус и цвет, как говорится... Но, на мой взгляд, any и конкретная сеть лучше, чем конкретный интерфейс и al_nets. Интерфейс иногда приходится менять. Например, адаптация конфигурации с более старших моделей, где нет проблем с физ. интерфейсами на более младшие. Или переход от провайдера с "голым IP" на PPPoE, PPTP или L2TP. Или добавление резервного канала Интернет. Во всех этих случаях, если правил много, имеем геморрой с заменой интерфейса и ошибки, если где-то забыли. Если указать конкретный интерфейс как destination в routung rules -- в 90% случаев PBR работать не будет.

Начал знакомиться с сим девайсом и столкнулся с той же проблемой. Решилась методом проб и ошибок следующими правилами:
1 dmz_ping Allow lan lannet core dmznet all_services
2 dmz_lan_tst Allow dmz dmznet core dmz_ip all_services
3 dmz_ping1 Allow lan lannet dmz dmznet all_services

Логика для меня довольно странная, но работает. Вопрос к знатокам: раз таких решений на форуме не предлагают, значит в них что-то не так. Что ?

На all_services не обращайте внимания. Я их потом заменю на конкретику.

Поскольку это тривиальные и совершенно естественные правила, то они и не заслуживают особенного внимания.

Разбор предложенных вами правил:

1 dmz_ping Allow lan lannet core dmznet all_services
не типичное и довольно бесполезное. core, dmznet или all_services надо заменить чем-то более подходящим

2 dmz_lan_tst Allow dmz dmznet core dmz_ip all_services
если если заменить all_services на ping-inbound, будет нормальное правило, разрешающее пинг из сети dmz на интерфейс DMZ на DFL

3 dmz_ping1 Allow lan lannet dmz dmznet all_services
типичное правило разрешающее весь трафик из LAN в DMZ

если вы скажете, чего хотите, мы вам напишем нужные правила.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

> если вы скажете, чего хотите, мы вам напишем нужные правила.
Вот мне как раз нужно не это. Мне нужна удочка, а не рыба. Я хочу понять идеологию этой железки также, как я понял (о чудо !) идеологию DSR после того как влез непосредственно в сам linux в ней. Очень хочется этого избежать хотя бы в DFL.

1 dmz_ping Allow lan lannet core dmznet all_services
> не типичное и довольно бесполезное. core, dmznet или all_services надо заменить чем-то более подходящим
да, наверное. Но вот что странно: если отключить данное правило, то пропадает пинг из локальной сети на core dmz_ip. При этом, коннект по другим протоколам TCP (например, конфигурационный 81), остается. Я заменил в данном правиле сервис на ping-outbound.

2 dmz_lan_tst Allow dmz dmznet core dmz_ip all_services
> если если заменить all_services на ping-inbound, будет нормальное правило, разрешающее пинг из сети dmz на интерфейс DMZ на DFL
Верно. Но при этом, будет невозможно установить из сети DMZ соединения TCP на конфигурационный порт core dmz_ip (например, конфигурационный 81).

3 dmz_ping1 Allow lan lannet dmz dmznet all_services
> типичное правило разрешающее весь трафик из LAN в DMZ
тут все понятно. На не DFL достаточно обычно только его.

Здесь вся хитрость в галочке "Pass returned ICMP errors from destination". Неважно, какой сервис Вы поставите, если в описании этого сервиса стоит эта галка -- пинг будет, иначе -- нет. Ну и помните, что правила просматриваются сверху вниз и применяется первое подошедшее, теперь Вам всё должно быть понятно.