Добрый день!

О чём тут, вкратце: у нас не получается контролировать IP-правилами трафик с vlan-интерфейсов. Трафик vlan-интерфейсов, судя по логам, считается трафиком родительского - lan-интерфейса.
Конечно, можно создавать правила, указывая источником lan, а сетью источника - подсеть влан, но, наверное, это будет как-то неправильно. Что необходимо сделать, чтобы управлять влан-трафиком, как будто это на самом деле отдельный логический интерфейс со своим собственным блекджеком..?

Далее подробности...
Мы у себя на работе давно пользуемся разными моделями DFL, но доселе делали ими простые вещи (разве что орехи не кололи).
В данный момент настраиваем DFL-1660. Прочитали (а местами - несколько раз) инструкцию! Сумели наладить доступ в интернет для всех своих пользователей, сумели настроить многие сервисы.
У нас предполагается три интернет-провайдера, для чистоты эксперимента, пока, работаем только с одним.
несколько сотен хостов в сети, сеть на smart и L2-коммутаторах D-Link, около трех десятков vlan, в которых различные рабочие группы.
Межвлановая маршрутизация налажена на L2+ (L3?) свитче 3120-24TC и хорошо работает. Одним густо тегированным концом этот свитч соединен с DFL и выпускает пользователей во внешний мир, а также DFL работает DHCP-сервером для вланов, обеспечивает порт маппинг и многое другое. Но кое-чего нам пока добиться не удалось. Потому и создал тут эту тему.

Опишу, примерно, нашу адресацию
- дефолтный влан, точнее, нетегированный. Адреса вне вланов, тут ip if'ы оборудования, администрирование
- влан пользователей
- влан пользователей
...
- влан пользователей

В качестве основного шлюза на устройствах в сети выставлен L3-маршрутизатор, потому что уже на нём стоит параметр - отправлять всё невнутрисетевое наружу в сторону DFL.

Как лучше настроить access rule на dfl в интернете и в инструкции не написано. Зачем эта настройка нужна - в принципе, понятно, а как лучше настроить - ни примеров, ни чего-то еще. Случайно нашел на форуме универсальную формулу для access rules - accept any\all-nets, то есть разрешены все сети на любых направлениях. Кстати, если совсем удалить правило access rule, то вообще ничего не работает, default access rule рубит всё на корню еще до достижения IP-правил. Многие факи и инструкции по настройке опускают этот момент!

Одна из наших проблем заключается в том, что мы не можем управлять vlan-to-wan трафиком, потому что dfl считает vlan трафик lan'овским!!

Вот строчка из лога:

Правило allow_http_lan такое: all_lans (в группу пришлось вставить и вланы тоже)\all_lan_nets (все внутренние сети и влановские тоже) internet (группа wan-интерфейсов)\all-nets
service http-all, действие: nat

Между тем, как можно увидеть, источник трафика, по адресу, находится в 80-й подсети, которая работает в определенном влане, а не в lan. Мы хотели бы видеть этот трафик отдельно, т.к. специально создавали для него логический интерфейс. Что мы делаем не так?

Если исключить из группы интерфейсов all_lans влан-интерфейсы, а из группы подсетей all_lan_nets исключить подсети вланов, и создать отдельные правила, вида:



то в логе Default_Rule 6000051 на интерфейсе Lan сразу же выдаст, что влановский адрес 192.168.vlan10.x пытается раскупорить 80-й порт удалённого ресурса, поэтому ату его, ату: ruleset_drop_packet drop..
В общем, не удаётся нам

Настраивая сервисы один за другим, мы пока не отточили таблицу маршрутизадницы. С вышеупомянутым правилом доступ в интернет есть, но мы хотим полного контроля для всех подсетей.
Вот на что таблица маршрутизации main похожа сейчас:



В принципе, если в строчке "lan1 all-nets lan1_gw метрика 90" метрику изменить на 100, то в работе ничего не изменится. Что же мы делаем не так? Пробовал создавать строчку "vlanN all-nets vlanN_gw метрика 90" - тоже не вышло начать управлять трафиком конкретного влана. Где-то, опять же случайно, на форуме, я нашел отголоски информации, что для работы vlan необходима отдельная таблица маршрутизации. Это так? Напомню, мы не хотим роутить вланы на dfl! Слесарю - слесарево, пусть файрвол только грамотно раздает интернет. В инструкции ничего в достаточной степени про это не написано, гугл и яндекс меня скоро забанят за упорство, поэтому очень надеюсь, что тут кто-то умный подскажет. )

а вланы развернуты на DFL ? или на L3 ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вы действительно где-то немного не понимаете.

На мой взгляд:

1. Поскольку ваш L2/L3 коммутатор является ядром сети и рутит весь внутрисетевой трафик, то и DHCP серверы для ваших вланов надо поднимать на нем. Как-то негоже и не изящно цеплять все вланы напрямую к DFL, чтоб он единственно что делал для них, дак это раздавал DHCP - не его это задача.

2. связь же между DFL и коммутатором ядра должна идти через простую нетегированную сеть lan1 192.168.0.0/22. И никакого тегированного трафика тут не надо.

Что в такой постановке вас не устроит?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, конечно, всё по инструкции, заведены vlan-интерфейсы на физическом интерфейсе lan1, все пакеты с тэгами и с подсетей влан принимаются-отправляются, работают. Интернет в вланах есть! Только контролировать его не могу персонально для каждого влан-интерфейса. Не могу в качестве источника трафика указать влан интерфейс.

На свитче, естественно, тоже развернуты вланы, для каждого (ну не для каждого, для 16 штук - там ограничение у модели, 16 ip if) создан ip-интерфейс в нужной подсети.
Если уточнить указанную в первом посте информацию, для каждой влан-подсети свой шлюз (свой ip if на L3 свитче), например, 192.168.10.1 ... 192.168.N.1
А на dfl IP-интерфейс в каждом влане имеет второй адрес (192.168.N.2)

Собственно, какая разница, какой адрес у шлюза, главное же, чтобы он просто был.

Это совсем лишнее, на мой искушенный взгляд. Прочтите мой пост выше.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Во-первых, на нашем свитче нет функции DHCP-сервера, во-вторых, с дхцп у нас нет проблем - дфл отлично справляется, на нём настроена статическая привязка, всё легко и просто.
Когда-то давно раньше я через windows-сервер это делал, но больше не хочу, меня всецело устраивает возможность иметь DHCP на DFL'e.
Для некоторых вланов между собой и роутинг не нужен, после того, как разберусь с файрволом, я займусь режущими ACL на центральном свитче. А так, DFL мне нужен, чтобы умно контролировать трафик.
Например, полоса от провайдера у меня 100 мегабит. Есть несколько групп технических сотрудников, несколько инженерных, несколько финансовых, есть руководство и есть каста неприкасаемых - директорат. А также, в каждом отделе есть начальники, которым можно чуть больше, чем прочим. Вот простой пример, чего я хочу.

Надо, чтобы простые смертные не могли зайти в соцсети, в том числе по https. Нет, закрывать пулы IP-адресов я не хочу, все равно адреса появляются новые. Надо, чтобы ни через какую щёлочку не запускался Torrent. Не грузились известные сайты-анонимайзеры. Чтобы не работали некоторые околоразвлекательные сайты, вроде фишек, джойреактора, гиктаймс и прочих (их много). Чтобы люди не зависали на ненужных для работы форумах. Не смотрели целыми днями фильмы в интернет-кинозалах.. Для каждого влана свои требования и свои ограничения по максимальной ширине используемого канала.

Мне нужно, чтобы полноценно работали WCF и AV. Тут, кстати, отдельный вопрос - так как для разных вланов разные условия жёсткости контроля, то и сервисы надо под каждый влан отдельные создавать? И алг с персональными черными списками, и pipes и pipe rules, так?

В общем, я не хочу тратить ресурсы dfl на intervlan routing. У нас бывают большие обмены информацией между рабочими группами, пусть файрвол стоит на страже периметра.


Это полностью лишит меня возможности управлять вланами на dfl. Если тегированного трафика не будет, то все логические vlan-интерфейсы на устройстве можно будет просто удалить и забыть, и работать только с IP-адресами. Не понимаю, в чем преимущество против моей схемы? В инструкции написано, что дфл полностью поддерживает стандарт влан.


Так у меня было в сети до разделения её на виртуальные сети. Недостаточно контроля.

PS Я не зверь, просто руководство ставит задачи, я пытаюсь их выполнить доступными средствами. Мне необходим чуткий контроль над каждым влан.

Я прочитал. Мне кажется, это не совсем имеет отношение к моему изначальному вопросу. Ну уберу я вланы с дфл, придется на одном lan-интерфейсе принимать кавалькаду IP-адресов? Читал у кого-то здесь про подобный эксперимент с ARP. Я искренне не вижу, чем это будет лучше, чем то, что я имею по схеме сейчас? И к тому же, чем я буду IP-адреса выдавать?

Вот нашел в инструкции фразу:


Согласно этой фразе, я и хочу управлять трафиком с отдельного интерфейса, но не получается. (( И обратная ситуация - если я удаляю с физического интерфейса некий влан, чей трафик приходит на дфл, то вижу в логах закономерное сообщение о дропе пакетов с неодобренным вланID.

Вообще картинка бы не помешала.

А по словесному описанию - ну вроде все красиво и похоже на реальность. Разве что default gateway - все-таки желательно быть DFL'ю
По крайней мере предположив что заявленный некий L3 маршрутизатор - это коммутатор с небольшим набором L3 функционала

Желание топик стартера посадить DHCP серверы на железку вполне понятно и оправдано. Если при этом никакого другого варианта кроме DFL (что грустно), то можно попробовать DHCP сервер держать на DFL, а коммутатор будет выступать с качестве DHCP-прокси. Сам такого не настраивал, потому подробностей не скажу.

Если все прочие варианты не проходят, то остается изначальный вариант топик-стартера. Но тогда придется настраивать PBR, поскольку DFL будет "видеть" все локальные подсети в двух ипостасях: как локальные для обслуживания DHCP запросов и как удаленные, находящиеся за коммутатором, при их доступе в интернет. И такая топология мне не кажется ни логичной, ни симпатичной.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Опять какая-то путаница. Юрий, DHCP у меня на DFL уже прекрасно работает и отлично справляется. Я создал по серверу для каждого влана, завел везде свои привязки маков и ip, с DHCP вопросов нет - нужные адреса в нужные вланы отправляются. Основная проблема у меня в том, что дфл не считает тегированный трафик с вланов индивидуальным. Он в логах ему источник приписывает - lan1. А адрес источника показывает влановский.



образно, схема выглядит вот так. Я искренне не могу понять, почему вы мне предлагаете роутить вланы файрволом, если для этого есть L3 свитч? В обозримом будущем 3120-24ТС будет заменен на DGS-3420-28TC.

Я ни слова не говорил о роутинге вланов через DFL. И так понятно, что это не вариант. Тем более в вашем случае.

Схемка вряд ли нужна. Она и так понятна из описания.

Вам нужно настроить PBR, чтобы на запросы на доступ в инет от вланов, приходящие со стороны коммутатора на порт lan1, DFL отвечал через тот же интерфейс.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Постепенно подобрались к интересной теме. То есть, для каждой влан надо сделать отдельную таблицу маршрутизации? И по правилу PBR? В этой области я профан. Будем разбираться..

Тут подобный вашему случай. только более востребованный. У вас, наоборот, трафик идет от альтернативного локального интерфейса.

viewtopic.php?t=65359&start=14

VLAN_group - группа ваших подсетей

Ip правило
lan1 VLAN_group wan all-nets all-services

правило маршрутизации, отправляет ответный трафик по таблице ALT
lan1 VLAN_group wan all-nets all-services

таблица маршрутизации ALT содержит маршрут
Route lan1 VLAN_group IP-addr_of _core_switch-gateway

--------
В таблице маршрутов main, помимо маршрутов на вланы через соответствующие интерфейсы (например, метрика 100), должен быть маршрут с менее приоритетной метрикой (например, 110) вида
Route lan1 VLAN_group IP-addr_of _core_switch-gateway

В целом как-то так. Не думаю, что у вас без опыта получится с первого раза.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Юрий, мне кажется, вы неправильно понимаете мою задачу. На диске с DFL шел целый ряд солюшенов в формате PDF, в том числе был и такой: с разных интерфейсов LAN (1-2-3) вылезают в сторону WAN1-2 и DMZ две виртуальные сети (vlan1-2). PBR там используется только для failsafe c разными WAN. Нам же, для простоты примера и чистоты эксперимента, достаточно, чтобы всё выходило только на wan1, но для каждого интерфейса по своим правилам.
Хочу, чтобы правило allow_vlan_to_http-all в такой форме:
source if: vlan
source net: vlan_net
dest if: wan1
dest net: all-nets
service: http-all
action: nat

РАБОТАЛО. А оно не работает, потому что наш файрвол, несмотря на самую новую в мире прошивку, интерфейсом-источником трафика, приходящего из vlan_net считает интерфейс lan.
Даже если я вышеописанное правило ставлю в самый верх списка правил, оно не срабатывает, т.к. трафик, приходящий на обработку, не соответствует ему по части интерфейса источника.
Не нужны тут никакие PBR, после прочтения солюшена я это понял. Тут собака зарыта в чем-то другом.

надо чтобы в качестве интерфейса источника в правилах можно было указывать не только lan или all_lans (включающий в себя lan), но и персональной каждый vlan, вплоть до всех 1024 возможных на 1660-й модели DFL...