Привет! Что-то у меня не получается. Подскажите, пожалуйста.
Что мы имеем? Есть файервол в центральном офисе (Shop1). К нему через 2 IPsec тоннеля подключены два магазина (Shop2 и Shop3). В магазинах стоят DI-804HV.
Для целей администрирования компьютеров в офисе я создал PPTP сервер как описано здесь http://www.dlink.ru/technical/faq_firewall_32.php (кроме настройки Rules)
Я без проблем могу подключиться по PPTP протоколу, а затем заходить удаленным доступом на компьютеры в офисе (Shop1). Однако, я НЕ могу заходить на компьютеры в магазинах. Т.е. сейчас мне СНАЧАЛА нужно удаленным доступом подключиться на какой-нибудь компьютер в офисе, и с него, снова удаленным доступом, подключиться на компьютер в магазине.
Это несколько извращенно.
Задача такова: сразу после подключения к PPTP серверу файрвола иметь возможность подключаться к магазинным компьютерам, через "проложенные" к магазинам IPSEC тоннели.
Я решил пойти по пути, аналогичному созданию правил для IPSec тоннелей.

У меня были тоннели

Я создал группу интерфейсов

И группу сетей

А затем создал правила для PPTP сервера


Все ли я правильно сделал, ибо НЕ СОВСЕМ работает? Офис (lannet) после подключения через PPTP с моего компьютера пингуется, core - тоже пингуется, а магазины - нет.
Помогите!

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Вроде правильно. Возможно и работает нормально. Но, чтобы проходили пинги, для них тоже надо прописать правила.

Так правила писаны для all_services. Должны и пинги ходить... Кроме того, я пытался и по www на DI-804HV заходить. То же самое. Чего-то не хватает, а чего - не пойму.

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

1. pptp-pool лежит в пределах lannet?
2. Что в логах, при попытке обратиться к удалённым офисом?
3. Как настроена маршрутизаци на клиенте? Всё заворачивается в туннель или прописан статически маршрут?

1. pptp_pool - это отдельная подсеть.
lannet 192.168.10.0
pptp_pool 192.168.11.1-192.168.11-10

2. Что в логах... Во первых, при попытке зайти на www интерфейс файервола через vpn подключение получаю сообщение Error 403 - Forbidden. В логах куча валит всего, куда хоть смотреть? Вижу, блокирует от меня запросы в Инет... Мой адрес, т.е. pptp клиента 192.168.11.5


3. Накаком клиенте? На pptp просто все заворачивается в туннель. Т.е. создано подключение VPN под Windows по умолчанию. В магазинах сами роутеры разруливают. Т.е. есть и IPSEC и Интернет.
4. Еще раз повторюсь. Связь между подсетями pptp и офиса, офиса и магазинами - ЕСТЬ. Тут все работает. Не работает связь между pptp и магазинами. Мож какое-то правило маршрутизации куда-то в файрвол добавить руцями?

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

такая схема работать не будет. Выдайте сеть PPTP Pool из той же сети, что и LAN.
По поводу клиент, я имел ввиду Win клиента, у Вас ВЕСЬ трафик от клиента заворачивается в туннель, а DFL понятия не имею что с ним делать, потому что скорее всего ни маршрутизации на левую подсеть, ни правил для него нет.
Вывод -- сделайте POOL из сети lannet

Спасибо за совет! Сейчас буду пробовать.
Но мне как бы не страшно, что файер от меня блокирует запросы в Инет. Ну и пусть все блокирует!
НО почему я не могу сделать pptp_pool как отдельную подсеть и просто прописать для нее правила, аналогично, как это делается с подсетями в IPSec?
Я у другого заказчика делал pptp_pool из адресов сети lannet. Ничем хорошим это не закончилось. Ибо при такой схеме клиент в офис может подключиться, а вот из офиса к клиенту подключиться не могут. Машинки офисные ж не знают, что для того, чтобы зайти на pptp клиента им нужно лезть через pptp сервер и только потом подключаться. Они просто говорят - нет такого адреса! Как только я прописал pptp_pool из другой сети - файервол сразу стал правильно маршрутизировать запросы из офиса к pptp клиентам.
Так что правильнее, на мой взгляд, делать pptp_pool из другой сети. И с точки зрения безопасности и с точки зрения управляемости...
Может я не прав?

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Я не вижу такой необходимсоти, всёравно клиент висит за интерфейсом и правилам его можно ограничить в чём угодно.
Но если хотите использовать так, никто и ничто не мешает, только играйте по правилам:
1. нужна маршрутизация на "левонет"
2. нужно удовлетворение SPD, чтобы попасть в туннель.

Насчет правил - согласен, можно.
А вот насчет маршрутизации на "левонет". Что Вы имеете ввиду? Разме правила, которые я прописал не формируют нужные записи в таблице маршрутизации? В первом посте я скриншоты привел.
И про SDP - а что это?

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Сделайте пожалуйста как я рекомендовал в первом посте. Если всё-таки будет желание работать через "левонет",то это относительно сложно.
1. Создать через arp entry left_ip
2. Создать через route left_net и присвоить её lan интерфейсу.
3. Создать правила для доступа.

Сделал, т.е. поменял PPTP_pool на 192.168.10.11-192.168.10.12
Теперь магазины пингуются, а центральный офис - нет. Правила для PPTP не менял. Скорре всего в них дело.

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

В общем, так и не заработало нормально. Вы можете по пунктам разъяснить, что и как. У меня уже сил нет.
Делаю по-совоему, с отдельной подсетью - не пингуются магазины
Делаю по-Вашему - с адресами их офисной подсети - не пингуется lan.
Бред...

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

По пунктам не могу, слишком длинная конфигурация, могу сказать куда нужно смотреть(предположим, что pptp-pool в той же сети)

Настраиваем сервер, обратите внимание, что нужно поменять inner_ip на lan_ip и в настройках роутинга отметить галку Always select ALL interfaces, including new ones, в настройках Add_Route

правила:
1. allow PPTPSrv/pptp_pool->core/lan_ip
2. allow PPTPSrv/pptp_pool->lan/lan_net
3. allow PPTPSrv/pptp_pool<->ipsec1/rem_net1
4. allow PPTPSrv/pptp_pool<->ipsec2/rem_net2

Спасибо!
Самое интересное, что у меня ПОЧТИ так и настроено. Чего оно не пингует... Ладно, займусь другим, видно не судьба сегодня...
Отличие в том, у Вас правила прописаны отдельно, а я все нужные мне сети и интерфейсы в группы свел, и настроил правила на группах. Может из-за этого глючит?
Гляньте на скриншоты в первом посте, если не трудно...

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Всё верно, галку security ещё поставьте.