Передо мной стоит задача настроить RemoteManagement через HTTPS и SSH с удаленного хоста через wanip.
Как это сделать - все вроде прозрачно, добавить пару правил в Remote Management:



Собственно два первых правила - это то, что я добавил.

Но также я решил проверить как вообще работает (и работает ли) менеджмент через SSH. Для это было добавлено последнее правило (Test), полностью идентичное стандартному RemoteMgmt_1 для HTTP/HTTPS

Однако попытки зайти на файер через SSH ни к чему не привели (с lannet на lanip). В логе появляются такие строчки:



Поясню, 85.223.213.0/24 - это и есть моя lannet
lan_ip - 85.223.213.1
Заходить пытаюсь с 85.223.213.2

Есть идеи как это вылечить?
firmware 2.11.02
Кажется они только в 2.11 ввели поддержку SSH....
Может она еще не работает/работает криво?

Так работать не будет.
Нужно "разносить" порты для каждого управленгия SSH
Т.е. внешний по 22, внутренний по 2222

окей, это действительно помогло. Спасибо.


Однако в остальном я чрезвычайно расстроен этим девайсом...

Собственно передо мной стояла полностью аналогичная задача как описано здесь
viewtopic.php?p=180474#180474
(разнца только в адресах сетей).

Я промучался 2 дня (и 2 ночи), но так ничего не вышло.
Какая-то мистика, но не рабоает и все тут.
Пробовал и с фирмварей 2.05 (на которой настраивал гн. Торопов), в т.ч. использовал и его конфиг (который как утверждается рабочий).
Не работает.
После этого пробовал сделать все тоже самое на 2.11.02
Тоже без результата.
Играл с дополнительными опциями - ничего.

Все таки эта железка упорно проявляет какой-то характер и ну никак не хочет рабоать в простейшем прозрачном режиме маршрутизируя между собой две инетовские сетки! Ну не нужно мне ничего более, ни фаер, ничего, простая, тупая маршрутизация между 2 интерфейсами (dmz-wan или lan-wan, не важно).

Проявлений этого "ума" много...

Ну например в ЛЮБОМ конфиге, Traceroute из системы сделать было невозможно, выглядело это как
1 * * *
2 * * *
3 * * *
....
При этом сам гейт (lanip) пинговался (из lannet).
Если настраивать dmz-wan как у Торопова, то даже гейт (dmzip из dmznet) не пинговался (но на него можно было заходить), т.е. явно что-то внутрях длинка решало, что можно, а что нельзя... БЛИН

Вообщем, уже готов нахрен это барахло выкидывать... жаль, что послушался совета Beliar (не обижайтесь, к Вам претензий нет, сам виноват) здесь: viewtopic.php?p=170865#170865 и купил его....

Пришлось ставить обратно di-824vup и работать через NAT, т.к. dfl-210 я не смог как следует настроить даже с NAT'ом...
Инет работает, а вот VPN соединения он изнутри во внешку не дает открывать....

Готов по возвращению в МСК (а все это происходило в Киеве) сделать набор скринов конфига как у Торопова и выставить на обозрение спецам... Может что-то и упустил, но очень маловероятно... Настраивал раз 10 с нуля. И еще раз 20 полностью перелапачивал конфиги с доп. опциями...

А то что девайс глючный следует хотя бы из простого примера, с которым я столкнулся и которому я не могу нацти никакого логического объяснения:

Firmware 2.05
Конфиг как у Торопова (dmz-wan) только сетки другие.
Включаю в IP rules вместо Allow ставлю NAT (в обоих местах).

Делаю save

Запускаю пинг на внешку ... не идет
Делаю рестарт железки по полной.
Пинг начинает идти и инет начинает работать (не считая outgoing VPN)
Переставляю кабель на другой комп - пинг НЕ ИДЕТ, ИНЕТА НЕТ
Переставляю обратно - ПИНГ и ИНЕТ есть.
Опять обратно - снова нет.
Перегружаю по полной длинк - ПИНГ и ИНЕТ на этот раз появился на втором компе (к которому был подключен патч во время перезагрузки dfl-210).
Переставляю патч на первый комп - пинга и инета на этот раз нету там

Подключаю этот комп через отдельный кабель на отдельный порт.
Пинга все также нет и нета тоже.
Нервно курю....
Через минуты две - пинг начинает идти и инет появляется на втором компе (также как и на первом).

При этом я НИЧЕГО на длинке ВООБЩЕ НЕ ТРОГАЛ, только тупо включал патчи со свитча, воткнутого в dmz к клиентам!

К сожалению, у меня в МСК нет возможности протестить желаемый сценарий, но я готов сдать железку в СЦ Длинк, чтобы ее проверили, настроили (ПРОСТОЙ РУТИНГ 2х реальных IP сетей с выходом в инет).

Возьметесь?

Устройтво должно работать, если оно не бракованное конечно. Если что правильные настройки внизу третьей страницы той темы. А tracert через нее без дополнительной настройки не ходит.

Beliar, именно так все и делал

Вообщем вот полное описание:

внешняя сетка (WAN) 212.109.41.136/29 (255.255.255.248) wangw: 212.109.41.137, wanip: 212.109.41.138
внутренняя сетка (DMZ) 85.223.213.0/27 (255.255.255.224) маршрутизируется и анонсится провайдером через wanip
локальная сетка (LAN) 192.168.1.0/24 lanip=192.168.1.1
dns1: 212.109.32.5
dns2: 212.109.32.9

DHCP-dmz: 85.223.213.2-85.223.213.30/27 (255.255.255.224), gwip=dmzip, dns1=dns1, dns2=dns2
DHCP-lan: 192.168.1.10-192.168.1.100/24 (255.255.255.0), gwip=lanip

2.05
конфиг (admin/admin):http://mcl.ru/backup-205.pkg
screens:


Здесь включаем два DHCP сервера на LAN и DMZ сетки
(изначально пробовал естественно и статику, чтобы исключить глюки встроенного dhcp)

это свойства DHCP на dmz

Свойства DHCP на lan (management)


здесь я капельку отошел от конфига торопова, и указал destif=dmz, destnet=dmznet ибо мне кажется указывать allnets для интерфейса dmz - не есть правильно. Но когда не заработало,пробовал и как у торопова (dmz/allnets)

аналогично, я капельку отошел от конфига торопова, и указал sourcetif=dmz, sourcenet=dmznet ибо мне кажется указывать allnets для интерфейса dmz - не есть правильно. Но когда не заработало,пробовал и как у торопова (dmz/allnets)


Это ipconfig /all c клиента на dmz

Это пинг гейта (dmzip) с клиента (чтобы работало - нужно что-то еще настраивать, что?)

Трейс

Далее правила для NAT (эксперимент)


ура, пинг пошел, инет есть (но outgoing VPN с клиентов не работает, видимо у встренного NAT проблемы c GRE инкапсуляцией или просто что-то еще нужно настраивать)

но трейса нет


2.11.02
конфиг (admin/admin):http://mcl.ru/backup-211.pkg
Скрины не выкладываю, так как конфиг пробовал полностью идентичный тому что выше.

В качестве многочисленных попыток заставить все это работать везде где только можно прописывал разное.
и таблицы рутинга ручные,
и rarp включал,
и делал в rules allow any/any <> any/any,
Добавлял сети в IP Access,
Добавлял any/any в IDP/Whitelist (2.11.02)
и т.д. и т.п.
Результат нулевой

P.S. А каким макаром настроить возможность делать tracertoute? Пинг на dmz?
И вообще - что нужно сделать, чтобы максимально отшибить "мозги" и "интеллект" у этого устройства, превратив его в обычный рутер?

Если ей все мозги вышибить она вобще работать перестанет.

Пинг на dmz_ip делается по аналогии с пингом lan_ip.

Это про traceroute:
http://forum.dlink.ru/viewtopic.php?t=26233&highlight=DFL-800

Это про VPN:
http://forum.dlink.ru/viewtopic.php?t=33267&highlight=GRE

В случае маршрутизации проверяйте таблицу роутинга, если конечные сети ограничены ее лучше задавать вручную.
Если с NAT, то изнутри должно быть NAT правило, снаружи правила SAT и Allow.

Логично, однако почему он не работал, когда я создал и сделал первым по приоритету след. правило:
sourceif:any sourcenet: allnets / destif:any destnet:allnets ALLOW?
Разве это правило не должно полностью все и всем разрешить (включая пинг?)


ОК, с этим все ясно.


Не очень понял. Что в итоге неправильно в конфигах выше или чего не хватает, чтобы работала прямая маршрутизация согласно ТЗ в начале моего поста выше?


Вы имеете ввиду, что я нат выше в примере неправильно настроил? Но инет-то работал....


В следующую коммандировку все это опробую, но главный вопрос остался неясен - Почему не работает инет при конфиге Выше.
К прову обращались, они проверили все со своей стороны и даже пришли со своей настроенной циской и продемонстрировали, что все работает и маршрутизируется (на их циске за 2500 уе)
Как вот теперь это реализовать на нашем длинке за 270 уе...

Routing table на скриншотах отсутствует, она могла быть неправильно автоматически составлена устройством.
Для работы интернет не нужно правило wan_to_dmz.
А правило any_to_any лучше не использовать, неизвестно как устройство его воспримет.

Вот таблицы (2.11.02):




И чего тут не так? вроде все как у торопова....

Вроде все правильно, нужно было логи еще посмотреть.

C NAT разобрался.
Достаточно изнутри во внешку сделать NAT и все, обратно вообще ничего не нужно. работает и VPN тоже (после обновления allservices)
Это я из дома смог протестить.

Последний вопрос, какое правило нужно прописать, чтобы работал traceroute и ping из внешнего мира на wanip, а также dmzip и все хосты из dmznet? (в направлении внешки все уже прописано, интересует именно трейc и пинг во внутрь).

СПАСИБО!!!

Нужно создать правила wan all_nets -> core (wan_ip)dmz_ip icmp. И wan all_nets -> dmz dmz_net icmp, если dmz не за NAT находится. А также отключить отброс пакетов с TTL=1.