Доброго времени!

Две железки DFL-860E (2.40.04.08-21457)
Между ними настроен VPN IPSec
Если настройки ставить для прохождения между лан интерфейсами по туннелю - правила отрабатываю корректно...
Но потребовалось на одной из железок сделать VLAN и организовать доступ в этот VLAN из другой из ЛАНА другой железки.
Настройки сделаны по образу и подобию как для ЛАН.
НО на DFL у которого нет VLAN - при входящем пакете из VPN от сети VLAN другой железки срабатывает правило по умолчанию(drop), хотя ALLOW для входящего от интерфейса туннеля из сети VLAN в LAN прописано.
Дропается по признаку из/в интерфейса VPN от адреса VLAN_IP в LAN_IP

Чего не так? чего не хватает?... Задача как бы тривиальная....

в настройках канала IPsec на обоих DFL указать все сети, которые через него адресуются

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Все сети указаны - эффект не наступает - всё равно правило по умолчанию : DROP

Настраивается и поднимается ВПН для любых физических интерфейсов. Настраиваешь для ВЛАН - затык....

не надо забывать о проверке маршрутов и IP правил по всему пути следования пакета

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это как?

Смотрим DFL1 у которого VLAN(192.168.3.0) - пакет ушёл
есть правила:
есть ALLOW Для ИЗ VPN в VLAN для сетей из 192.168.10.0 в 192.168.3.0
и есть ALLOW Для ИЗ VLAN в VPN для сетей из 192.168.3.0 в 192.168.10.0

Смотрим DFL2 у которого LAN(192.168.10.0) - пакет пришёл из VPN и дропнут правилом по умолчанию, хотя
есть ALLOW Для ИЗ VPN в LAN для сетей из 192.168.3.0 в 192.168.10.0
и есть ALLOW Для ИЗ LAN в VPN для сетей из 192.168.10.0 в 192.168.3.0

Так какие правила и маршруты смотреть?

Сначала сделайте это

Что у вас указано в качестве удаленной и локальной сети на обоиx DFL?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

DFL 1 VPN: из 192.168.3.0 в удалённую 192.168.10.0
DFL 2 VPN: из 192.168.10.0 в удалённую 192.168.3.0

Пусть дано
DFL1: сети LAN_1 и VLAN_11
DFL2: сети LAN_2 и VLAN_21

тогда в настройках IPsec должно быть
на DFL1: локальная сеть: группа сетей LAN_1 и VLAN_11, удаленная сеть: группа сетей LAN_2 и VLAN_21
на DFL2: локальная сеть: группа сетей LAN_2 и VLAN_21, удаленная сеть: группа сетей LAN_1 и VLAN_11

маршруты должны создаться автоматически. что надо проверить в status-routes

IP-правило:
allow lan_all lan_nets lan_all lan_nets all-services
где
lan_all - группа интерфейсов lan и IPsec
lan_nets - группа сетей LAN_1_net, VLAN_11_net, LAN_2_net, VLAN_21

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.