faq обучение настройка
Текущее время: Ср мар 03, 2021 09:03

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
СообщениеДобавлено: Пн май 25, 2015 23:51 
Не в сети

Зарегистрирован: Вт мар 17, 2015 13:44
Сообщений: 10
Добрый вечер,господа. Помогите советом в сложившейся ситуации.
Для начала - схема сети.

Изображение

Есть у меня сеть 192.168.0.0/24 за DFL-860E (на схеме обозначена буквой "А"). Прошивка 2.40.04.08-21457 Jun 4 2013. Понадобилось выпустить два компа по VPN в сеть содружественной организации. Тамошние админы приблизительно обрисовали схему так, как я нарисовал : у них есть DFL (модель мне неизвестна), на которой поднят PPTP-сервер (на схеме обозначена буквой "B"). Она соединяется через IPSEC ещё с одной DFL (на схеме обозначена буквой "C"), за которой сидит сервер терминалов. Требуется подключиться по VPN к DFL'ке "B", после чего зайти на сервер 192.168.1.3.
Всё бы ничего, но у меня-то эти два компа сидят за одним NAT'ом. Соответственно, вдвоём работать не смогут. Попробовал пошаманить с созданием PPTP ALG, однако наткнулся на рандомный обвал моей DFL с ошибкой "Exception 'Prefetch Abort' at address bla-bla-bla" (точно не помню). Причём отследил, что обвал происходит именно в момент подключения второго компа, когда первый уже подключен, но не всегда. Решил попробовать настроить VPN-клиент на самой DFL. Однако столкнулся с тем, что PPTP-соединение устанавливается, адрес берётся 192.168.3.120, но компы в моей сети в упор не видят сервер 192.168.1.3. Причём с самой DFL 860E адрес сервера пингуется. Если подключиться с теми же параметрами VPN с обычного компа, то всё работает.
Что делал:
1. Отключил автоматическое добавление маршрута при установлении VPN-соединения. По какой-то причине основной шлюз от PPTP-сервера прилетает вида 0.0.0.0, а маска имеет вид 255.255.255.255. Добавлял статический маршрут в таблицу main вида "Interface - PPTP-client, Remote Network - 192.168.1.3". Возможно, здесь мой косяк - может, требуется указывать в параметре Remote Network 192.168.3.0/24 с добавлением ещё какого-то маршрута уже к 192.168.1.3? Хотя, мне кажется, что необходимо только указать маршрут к узлу 192.168.1.3 через интерфейс PPTP-клиента, а маршрутизация между сетями 192.168.3.0/24 и 192.168.1.0/24 - дело оборудования тамошних админов. В общем, что с добавлением статического маршрута, что с получением его после установления PPTP-соединения, ситуация одна и та же - пинг с самой DFL 860E идёт, а с компов за ней - нет.
2. На самый верх выкладывал правила вида:

Action: Allow
Service: all-services
Source Interface: lan
Source network: lannet
Destination interface: pptp_client
Destination network: 192.168.1.3

Action: Allow
Service: all-services
Source Interface: pptp_client
Source network: 192.168.1.3
Destination interface: lan
Destination network: lannet

Компоненты правил "Service", "Source Interface" и "Destination Interface" менялись на all-icmp, all-tcpudpicmp, any. Во всех случаях результат одинаковый - пинг с самой DFL 860E идёт, а с компов за ней - нет.

В итоге пока завернул трафик со второго компа через резервного провайдера посредством PBR, чтобы каждый комп сидел за своим NAT'ом. Однако хочется разобраться в ситуации. Подскажите, более опытные коллеги: всё-таки это я что-то недонастроил, или можно хоть до посинения биться с разными правилами, но работать эта схема всё равно не будет из-за особенностей настроек оборудования сторонней организации или ещё из-за чего-то? Буду благодарен за любой ответ.
P.S. Поднять IPSEC между DFL "A" и DFL "B" не получится по административным причинам, от меня не зависящим.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 00:04 
Не в сети

Зарегистрирован: Вт мар 17, 2015 13:44
Сообщений: 10
Только что в голову пришло: может быть, дело в том, стороннее оборудование не знает о существовании моей сети 192.168.0.0/24? А с моей DFL 860E пинг идёт, поскольку она берёт по PPTP адрес из сети 192.168.3.0/24, для которой есть маршрут в сеть 192.168.1.0/24?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 08:26 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8618
Откуда: Москва
На узле С прописать разрешающие правила для общения сетей 192.168.0.0/24 и 192.168.1.0/24

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 09:03 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9050
Откуда: Москва
а еще там же , прописать в параметрах туннеля localnet сеть C + правила .

для понимания
http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc
идеология ни чем не отличается

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 09:37 
Не в сети

Зарегистрирован: Вт мар 17, 2015 13:44
Сообщений: 10
Спасибо за ответы. На узле "C" сеть 192.168.0.0/24 прописать не получится, поскольку в тамошней организации она уже есть, как мне сказали. Решения, кроме как выпускать компы с разных внешних адресов, больше не вижу.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 12:19 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7182
Откуда: Екатеринбург
Решение есть. Простое. pptp клиент поднимается на DFL, что вы уже сделали. А правило для доступа компов до удаленного сервера делается NAT.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 12:41 
Не в сети

Зарегистрирован: Вт мар 17, 2015 13:44
Сообщений: 10
YuriAM писал(а):
Решение есть. Простое. pptp клиент поднимается на DFL, что вы уже сделали. А правило для доступа компов до удаленного сервера делается NAT.

Пробовал, не получилось. Время позднее было, мог что-то и напутать, конечно. Надо "на свежую голову" проверить.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 12:44 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7182
Откуда: Екатеринбург
поскольку DFL подключается как ppt-клиент и пингует нужный сервер, это должно работать.
разве что настройки PBR могут помешать

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 12:55 
Не в сети

Зарегистрирован: Вт мар 17, 2015 13:44
Сообщений: 10
Так, а чисто теоретически, из-за NAT'а не вернётся ли проблема невозможности одновременной работы двух компьютеров?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 13:06 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7182
Откуда: Екатеринбург
Freedom2015 писал(а):
Так, а чисто теоретически, из-за NAT'а не вернётся ли проблема невозможности одновременной работы двух компьютеров?

Нет, конечно. все будет нормально.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 26, 2015 13:16 
Не в сети

Зарегистрирован: Вт мар 17, 2015 13:44
Сообщений: 10
Спасибо за совет, попробую.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 15


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB