Добрый день
DFL 210 подключен к провайдеру по PPTP. Внешний IP статический (MyStaticIP). Прошивка последняя (европа), 2.27.08.03-22678
К интерфейсу DMZ подключен L2 коммутатор, на котором живет VLAN99 (192.168.99.0/24)
Там живет 1 машинка (192.168.99.13), до которой нужен SSH

Мысль - сделаем SAT. по обращению на внешний статический IP по порту (пусть будет 99) будем попадать на 192.168.99.13 , порт 22
Берем мануал http://dlink-manuals.org/dlink-setup-po ... 00-2500/5/

Делаем сервис Forw_SSH_servs
Тип : TCP Source : 1-65535 Destination: 99

Делаем правило №1
Action: SAT , Service : Forw_SSH_servs , Source - any , all-nets
Destination: Corel, Network: MyStaticIP
На закладке SAT:
translate to :host New Ip address : 192.168.99.13 New Port : 22

Делаем правило №2
Action: Allow Service : Forw_SSH_servs Source - any , all-nets
Destination: Core Network: MyStaticIP

Ради смеха сдвигаем правила в самый верх списка
проверяем что правило SAT над правилом Allow

Иииииии.... не работает. Failed to connect , ETIMEDOUT

При просмотре логов с фильтром по IP источника (или по порту 99, без разницы) видна только 1 запись
Severity: info
Category/ID : CONN 600001
протокол : TCP
Event/Action : conn_open

На самой машинке 192.168.99.13 активности по порту 22 нет.

Машинка в инет ходит. С другого интерфейса на обращение по :22 нормально отрабатывает
Подскажите пожалуйста куда копать ?

а если пробросить на эту машинку что-то без трансляции порта?

или второе правило вместо allow сделать NAT?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

а на машинке 192.168.99.13 кто шлюз в инет ?!?! DFL ?!

покажите таблицу маршрутизации , и настройку Vlan
ну и с машинки route -n

да и сама машинка доступна с Lan-net ?!

и для тестов попробуйте изменить правила
any/all-nets core/all-nets

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Если попытаться пробросить просто сервис SSH результат тот же

Если сделать NAT, то в логах соединение есть, но по прежнему тишина
Лог: Severity: Info Category/ID CONN 600004 TCP
Src/DstIf : ProviderPPTP/ProviderPPTP
conn_open_natsat
satdestrule=Forw_SSH_rule conn=open connnewsrcip=MyStaticIP connnewsrcport=21819 connnewdestip=192.169.99.13 connnewdestport=22

выключите на пробу на машинке все фаерволы . IPTABLES и прочее .
ну и скрины в студию , у меня например такое работает и в Vlan и в IPSEC и даже за PPTP проблем не видел ни разу .

и провайдеров не два ли ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Провайдер один.
Машинка по SSH с локальных компов ( вт.ч. сидящих за другим интерфейсом DFL, в других VLAN, нормально работатет)

route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.99.1 0.0.0.0 UG 0 0 0 eth0
192.168.99.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0

VLAN
17 Vlan99_IP 192.168.99.1
18 Vlan99_NET 192.168.99.0/24

Все экраны отключены, результат по прежнему нулевой
Если нужны еще скрины - скажите какие.

а почему в Vlan , Default Gateway пустой ?!
и кто назначает адреса !? на машинке приколочен ?! или по DHCP ?!
ps 7 й маршрут мне нравится просто я сам из этого города

я бы сделал по другому . сделал бы DHCP сервер и повесил бы его на 99 ваш Vlan , дальше прописал бы и Default Gateway , и уже потом смотрел что и куда .... ну и сделать правило выше всех

2 tracert NAT any all-nets any all-nets ping-outbound

что даст провести трассировку

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Приветствую земляка
Default Gateway в vlan99 прописал ( gateway - 192.168.99.1)
Адреса назначаются по статике ( так надо )
Про правило не понял, какое и куда прописать?

Попробуйте посмотреть тут: viewtopic.php?p=873935#p873935
как сделан проброс для PPTP-подключения
Тут попроще, без VLAN'ов, но сути это не меняет.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Интересный материал
Почерпнул из него как сделать себе loopback, чтобы обращаться из локальной сети за DFL'кой к внетренней машине по её внешнему адресу.

Однако, если сделать правила SAT и allow как в статье , правила начинают резать подключения.
т.е если сделать SAT правило
Source : Provider_PPTP / all nets
destination : Provider_PPTP / MyStaticIP
DFL начинает резать трафик.

Если вернуть Destinaton на CORE, в логах опять conn_open

Однако проблема все равно оствется на том же месте.

А вот немного уличной магии вдогонку. FTP_nas работает ( сидит за LAN интерфейсом, причем за еще 1 роутером)
а второй набор правил - нет

Может все же где то в роутинге косяк?

в роутинге может быть косяк только если шлюз на машинке не dfl. все остальное работает .
если у вас реутов телеком - то работает точно ... и со сменой порта и все такое ,
у меня у самого на ружу смотрит 5556 порт , и форвардится на 22, причем таких конвертов штук 5. и все в разные вланы вмотрят .
чудес не бывает .....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Какое именно правило режет трафик? У меня это работает (правда destination = LAN)

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Почему у Вас Destination Network со звездочкой?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...