Доброго всем дня!
У меня такой вопрос.
Есть 3 сети:
1. 192.168.0.0/24
2. 192.168.2.0/24
3. 192.168.3.0/24
Сети находятся на расстоянии друг от друга.
Схема такая. 1 филиал (Роутер Win2003) - центр. офис (DFL-860E) - 2 филиал (MikroTik)
Между филиал 1 и центром прокинут провайдерский прямой канал, и между филиалом 2 и центром тоже есть такой канал.
В общем маршруты настроил, из центра вижу оба филиала, оба филиала видят центр, а вот между филиалами никак не могу настроить, чтобы они видели друг друга через DFL-860E.
Ах да, на центральном DFL-860:
WAN1 - Интернет (ну он тут ни причем)
WAN2 - Сеть провайдера, за которой филиал 1
WAN3 (перенастроил DMZ) - сеть провайдера, за которой сеть филиала 2.

Может ли прокидывать D-Link пакеты, предназначенные для сети филиалов друг от друга, или я что-то не так сделал с WAN портами???
Уже как не бился, никак они не пингуют друг друга....

Если нужна будет какая-то более подробная информация, с удовольствием напишу....

Посмотрите на фтп там есть ваша ситуация только с ипсек каналами . Что по сути не мегяет логики .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо за оперативный ответ!
Почитал я тот мануал (который с ФТП), там все сводится к тому, что надо настроить правила между этими интерфесами...
Я настроил все правила ( 6 штук, касаемо этих интерфейсов), для проверки указал там не конкретные сети, а с WAN2 на WAN3 и обратно - all-nets.
И все равно понги из крайних сетей друг до друга не доходят ((( Обе сети в центральной все видят и наоборот...
Кстати в мануале, как интерфейсы используются туннели, а у меня физические интерфейсы... Но в принципе разницы большой быть не должно, НО НЕ РАБОТАЕТ (((
Где же тут собака порылась ??? Я уже не знаю, в какую чторону копать (((

Во что только что нашел в логах:
2014-12-26
00:08:32 Warning RULE
6000040 UnknownVLANTags wan2

unknown_vlanid
drop
vlanid=722 hwsender=f8-c2-88-0f-70-80 hwdest=01-80-c2-00-00-15 enetproto=0x8100


2014-12-26
00:08:32 Warning RULE
6000040 UnknownVLANTags wan3

unknown_vlanid
drop

Чтобы это могло значить??

Вот еще такое сообщение, при попытке пинговать адрес 192.168.3.210 bp ctnb 192.168.0.0/24
2014-12-26 00:18:55 Info СONN
600002 Allow_etsk_to_etsr ICMP wan3 wan2 192.168.0.1 192.168.3.210 conn_close close

Vlan-ов никаких нигде не прописывал ((((

Хотя это может быть VLAN от провайдера, который этот VLAN прокидывал через свою сеть...
Но почему D-Link дропает пакеты от этого VLAN, отправленные именно на порт WAN2, а во внутреннюю сеть все приходит нормально ???
Очень странная ситуация (((
Как с этим бороться, может Гуру подскажет???

Показавайте скринами что настроили .иначе мы тут будем долго писать .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Понятно, что проблема решаема и она не сложная. Просто хочу уточнить.

Если оба канала от дочерних офисов сделаны через одного провайдера, может было бы удобнее сделать их как-бы как один канал - общая сеть провайдера, в которую имеют выход все три офиса? Тогда дочерние офисы выходили бы друг на друга, минуя главный.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Настройки:





etsr_net: 192.168.3.0/24 (WAN2), wan2_gw: 192.168.11.9, wan2_net: 192.168.11.8/30, wan2_ip: 192.168.11.10
etsk_net: 192.168.0.0/24 (WAN3), wan3_ip: 192.168.0.20, wan3_net: 192.168.0.0/24, wan3_gw: 192.168.0.1
lannet: 192.168.2.0/24 (LAN), lan_ip: 192.168.2.1,

Канал в сторону сети 192.168.3.0/24 (WAN2) с моей стороны имеет сеть 192.168.11.8/30, а со стороны филиала - 192.168.10.0/24, шлюз - 192.168.10.1, ip - 192.168.10.6, и дальше через сервер во внутреннюю сеть 3.0

А вот его руганьь:



Щас появился еще какой-то 210 влан.. Откуда они берутся?? у меня таких Вланов сроду не было...

PS: To YuriAM.
Нет, эти самы каналы никак друг с другом не связаны и от разных провайдеров (((

Все это выглядит так:



Бог с ними, с Вланами, щас перепрописал все правила заного, и все равно такая-же пертушка (((

сделайте на центральном DFL группу из всех своих сетей удаленных и локальных .
так же сгруппируйте все интерфейсы ( чту наставления Юрия ) через которые эти сети проходят , и напишите правило

allow gr_if/gr_net gr_if/gr_net all service

если хотите проверить быстро напишите
allow any/all-nets any/all-nets all-service - но помните не секюрно

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Группу сетей я создал IP4 (192.168.2.0/24, 192.168.3.0/24, 192.168.0.0/24)
А вот с создание группы интервейсов - это как???
Создал 3 ethernet-address с mac адресами WAN2, WAN3, LAN
Объеденил их в Ethernet address group
Но вот при создании правила, нельзя указать эту группу... Ее нет в наспадающем списке, а руками там ничего нельзя прописать...

Что-то я делаю не так???


PS: а чтобы пробовать несекьюрно, надо инет обрубать, а он нужен, и до 22 я не смогу его отрубить (((


В общем на данный момент сложилась у меня такая ситуация:
Отключил интернет, прописал правило any/all-nets - any/all-nets - allow - all services

И НИЧЕГО (((
Как они друг друга не пинговали, так и не пингуют (((((((

Что-то тут не чисто...
Хотя все настройки обпроверялся, ну если any-any не сработало, то уж и не знаю теперь (((
Может этот д-линк вообще способен только из вана в лан прпускать и обратно, а из вана в ван - не дано ???

У меня пускает. Из пптп в влан и как хочеш вообщем . Тут вам разбиратся смотреть трассировки
Да еще . Запустите удаленный пинг, и смотрите что там в статус соединения . Куда там он у вас лезет . Может роете не там .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Надо помнить как молитву, что на DFL для верного хождения трафика всегда должны быть верными 2 вещи:

1. Маршруты
2. Разрешающие IP-правила.

На всех ваших трех устройствах.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо большое за участие!
Разобрался))
В сети провайдера канала от сети 2.0 до сети 3.0 прописан был только маршрут для сети 2.0, а для остальных - нет.. они прописали у себя и все заработало ))))))