Добрый день! Есть железка под именем DFL-260E.
Стоит следующая задача. Нужно настроить VPN двумя объектами. Маршрутизацию предоставляет провайдер.
От провайдера к DFL приходит 2 шнурка (WAN и VPN). C WANом все ясно.
Для настройки VPN на DFL решил использовать порт DMZ.
Нужно организовать доступ пользователя объекта Б к лок. сети объекта A и обратно.
Подскажите, как настроить доступ из подсети порта DMZ в подсеть LAN и обратно.

Нарисовал примерную картинку как это выглядит.


Говоря проще, нужно попадать из 192.168.1.1 в 192.168.4.1 и обратно.
Есть ли Варианты решения?

Ну маршрут и правила .и должно оаботать .
Показавайте что сделали в этом направлении .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

если ответственность за безопасность, с том числе шифрование, возлагается на провайдера и вас это устраивает, то все сводится к простейшей маршрутизации, либо построению GRE туннеля.

Если же нет - то IPsec/L2TP/PPTP с шифрованием.

Какой вариант у вас?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Владимир, это вполне логично. Какие маршруты и правила в данном случае должны быть прописаны?

Да, именно вопрос простейшей маршрутизации. С вопросами шифрования исходящего трафика уже решены.
Насколько я понял, провайдер организует VPN по технологии MPLS (к сожалению провайдер не сообщает подробности).
.

Настройки для А: (для Б - аналогично)

dmz настроен на сеть 192.168.2.0/24

объекты
net3 - 192.168.3.0/24
net4 - 192.168.4.0/24
net_3-4 - группа сетей net3 и net4

маршрут
(интерфейс)dmz (сеть)net_3-4 (шлюз)dmz_gw (метрика)100

IP правила прохождения трафика
Allow lan lannet dmz net_3-4 all-services
Allow dmz net_3-4 lan lannet all-services

IP правила диагностики - пинг из удаленных сетей
allow dmz net_3-4 core dmz_ip ping-inbound

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Хотел писать (и даже написал) печальное письмо про подобную нерешаемую ситуацию (проковырялся пару дней ). - Но, ситуация к счастью решилась - делюсь решением
Стояла у меня такая же банальная задача - соединить две сети, чтоб из сети ЛАН можно было лазить в сеть за ДМЗ. - Но ни как не выходил каменный цветок, хотя действовал подобно тому как описал Юрий_АМ (да ведь и я уже не новичёк в ДФЛ Длинках - уже лет 7 с ними ковыряюсь). А опять вышли сплошные танцы с бубном - чего только не пробовал уже
Короче решение: дело оказалось в аппаратной несовместимости, которую удалось вылечить заметой сетевого оборудования за ДМЗ на Длинковское (с перепрошивкой до самой свежей версии). Ну и по мелочи, сам ДФЛ тоже был прошит до последней прошивки 2.60... В разрешающих ИП-правилах у меня "allow" в этой ситуации не слаботало, так что только "nat". И ещё - перед окончательной перепрошивкой ДФЛ (и победой) полностью (в очередной раз) обнулил железку до заводских настроек.

_________________
ДФЛ-210/ДФЛ-800

Я правильно понимаю, речь про подключение через MPLS к какому-то узловому центру диспетчеризации?
Перечитал топик, вроде бы DFL'ки не поддерживают MPLS.
Знаю про железку HP MSR2003 AC Router (JG411A) - вот она дружит с MPLS
Опять же, там тоннели разных сортов бывают - MPLS Layer 3 VPN или MPLS Layer 2 VPN.
Если за MPLS-тоннель отвечает провайдер, то так как Юрий описал.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Судя по всему так и есть.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за совет.
Вот мне совет Юрия так-же не помог.
Попробую по Вашему пути пойти.

Да, речь идет о MPLS L3.
В данном случае DFL играет роль маршрутизатора с стороны клиента (СЕ).
За MPLS-тоннель отвечает провайдер

Если провайдер ничего не знает о ваших внутренних сетях и не обеспечивает их маршрутизацию, то мои рекомендации не сработают. Они рассчитаны на иное.

1. Вы через эту MPLS сеть можете с одного DFL пинговать другой?
2. Провайдер обеспечивает только маршрутизацию сетей 2 -3? Или также 1 и 4?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.