Имеется сеть из 3х vlan-ов. Сервер 2003 (втор.контроллер) с поднятыми вланами и IPSec тунель до первичного контроллера домена. Все нормально работает но в логах DFL800 очень много сообещий:


Server 2003
vlan1: ip 192.168.1.1 mask 255.255.255.0 gw 192.168.1.254
vlan2: ip 192.168.2.1 mask 255.255.255.0 gw 0.0.0.0
vlan3: ip 192.168.3.1 mask 255.255.255.0 gw 0.0.0.0

DFL800
vlan1: ip 192.168.1.254 vlannet 192.168.1.0/24
vlan2: ip 192.168.2.254 vlannet 192.168.2.0/24
vlan3: ip 192.168.3.254 vlannet 192.168.3.0/24

IPSec
lannet: 192.168.4.0/24

IP Rules:
Allow: VLan_Group, VLanNet -> IPSec, RemoteNet - all_service

С одной стороны понятно vlan2,vlan3 пытаются идти по gateway vlan1 по умолчанию который прописан в Windows2003. Соответственно DFL видит что по vlan1 идут пакеты не из ее сети (vlan2,vlan3) и дропит их. Но что сделать чтобы логи не мусорились такими сообщениями непойму.

Прописать явное правило на drop пакетов из одной сети в другую. Или настроить топологию и маршрутизацию так, чтоб такого не было.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Явно правило прописывал не помогает, т.к. у интерфеса vlan1 уже определен диапазон и правила не срабатывают если другой диапазон указать.
Вот думаю теперь как топологию поменять, но пока ничего не приходит в голову...

Если напишите достаточно подробно, что имеете и чего хотите достичь, возможно, коллективный разум поможет. Т.к. с вашим описанием многое неясно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Забыл уточнить... пакеты идут с vlan2, vlan3 по дефолтному шлюзу в vlan1 от Server 2003. Пакеты smb_all, icmp.
Общение с первичным контроллерм домена по IPSec идет но хотелось бы чтобы только по vlan1 а c остальных vlanов сервак не отправлял пакеты.
Естественно если сервак отошлет пакет из vlan2 по дефолтному шлюзу из vlan1 то DFL должна дропить.
Непойму что сделать с виндой или с маршрутизаций.

PS. Из оборудования в наличии: Server 2003, DES3528, DFL800. 3го уровня маршрутизаторов нет.

В настройке IPSec в качестве local network должда быть указана группа из всех подсетей какие вы хотите туда завернуть, как и на удаленном в качнестве удаленной сети должны быть казанны ваши сети.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.