Есть три DFL800 подключенных к инету. На одном (А) включен PPtP сервер. Два других (B и C) к нему подключаются. За каждым DFL800 локальная сетка.
из LAN B в LAN А и наоборот - есть доступ
из LAN С в LAN А и наоборот - есть доступ

Вопрос: можно ли сделать доступ из LAN B в LAN С по существующим тунелям ?

На данный момент пинг из В в С режется на А Default_Access_Rule.
Правило файрволе: if_tun1 all_nets all_services -> if_tun1 all_nets all_services ALLOW

Городить тунели каждый с каждым не резон - реально точек у меня 8. Доступ нужен конечно не из каждой в каждую, но все же...

Видимо, придется делать отдельные правила, или объединить эти туннели в группу интерфейсов и написать правило для нее.

Секундочку... if_tun1 -> if_tun1? А остальные тут причем?

Я бы рекомендовал установить 3 IPSec тоннеля между всеми тремя точками. Из соображений быстродействия и разгрузки рутера А от транзитного трафика.

Но и по вашему должно работать. Надо только правила поправить для пропуска еще и транзитных сетей наряду с остальными. Лучше это делать через группы IP адресов. И убедиться, что с маршрутами все в порядке.

На DFL800 который А и который сервер PPtP имеет ОДИН интерфейс для всех подключений клиентов. Т.е. если один клиент посылает пакет другому, то он на сервер приходит из интерфейса if_tun1 и уходить должен в него же только другому клиенту. Поэтому и правило такое глупое получилось. Оно кстати и не работает.
Может надо делать два правила if_tun1 -> core и core -> if_tun1.

Как я писал в первом посте, реально точек не 3, а 8. Так что тремя тунелями я не отделаюсь: для 4 точек это уже 6 тунелей и т.д.

Да, и транзитного трафика будет не так много. основной трафик всеже от клиента до сервера.

Вообще-то, присоединяюсь к предыдущему оратору...
Кстати, пинг этим правилом не отрабатывается! all-services не поддерживает передачу ошибок icmp. Т.ч., перед этим правилом должно еще быть правило для пингов.

Я лично бы построил схемку сети (вы же сказали не всем со всеми надо связи) и, руководствуясь упомянутыми ранее принципами, сделал бы IPSec тоннели. вплоть до 28 штук на 8 точек. Настроек, конечно побольше, но зато уверенность, что Рутер A не взлетит (или упадёт).

Я проверял на RDP протоколе - тот же эфект.

Еще раз поясню суть вопроса:

пакет должен попасть из сети В в сеть С ( см.первый пост )
сделать он это может только через dfl А. Маршрут так и прописан.
Пакет уходит с В на А и там убивается дефолтовым дропом.
Как должно выглядеть правило ( или правила), чтоб этого не происходило ?

Проверять, действительно, проще по пингу. if_tun1/all_nets -> if_tun1/all_nets ping_outbound nat. Просмотрите, чтобы в сервисе ping_outbound стояла галка "ошибки icmp". nat или allow? Вроде бы, сеть одна, т.ч. и allow. Нужно добиться, чтобы ушла отработка default_access_rule. А что, кстати, в нем написано?

Кстати, если Вы непременно хотите построить звезду, у которой наряду с недостатками есть преимущество в удобстве администрирования, то, не исключено, в центре вам может понадобиться устройство помощнее.

Такое возможно реализовать при помощи PPTP. Правда при конфигурировании будут некоторые тонкости. Например вам вам придется указывать сети которые лежат за пользователями (dfl), и выдавать им при соединении статический IP из вашего pptp pool. На удаленных DFL в свойствах pptp клиентов в качестве remote network указать группу из удаленных сетей которые находятся за другими DFL. Дальше уже просто. Корректно настроить IPRules на всех dfl, и если надо на центральном прописать роутинги.

Именно так и сделано.


А вот корректно настроить IPRules на центральном не выходит.
Транзитный пакет на центральном приходит из тунеля и в него же уходит. Но правило где указан входящим и исходящим интерфейсом тунель не помогает.

Пакет всеравно дропается.

На центральном dfl создайте группу из удаленных подсетей, в IPRules укажите

правило 1

Action Allow
service all_services


Source Interface: (указывается pptp интерфейс)
Source Network: (указывается группа из удаленных подсетей)

Destination Interface: lan
Destination Network: lan_net

Правило 2

Source Interface: lan
Source Network: lan_net

Destination Interface: (указывается pptp интерфейс)
Destination Network: (указывается группа из удаленных подсетей)

Правило 3

Source Interface: (указывается pptp интерфейс)
Source Network: (указывается удаленная сеть за первым DFL)

Destination Interface: (указывается pptp интерфейс)
Destination Network: (указывается удаленная сеть за вторым DFL)

правило 4

Source Interface: (указывается pptp интерфейс)
Source Network: (указывается удаленная сеть за вторым DFL)

Destination Interface: (указывается pptp интерфейс)
Destination Network: (указывается удаленная сеть за первым DFL)

При необходимости еще можно дополнительно прописать роутинги.

Вопрос: если сети например такие 192.168.100.0/24, 192.168.120.0/24 и т.д., то можно ли не делать группу сетей, а использовать в правилах сеть 192.168.0.0/16 ?

Правила у меня такие (они как раз соответствуют тому что написано в предыдущем посте Sergey Vasiliev):


PS Сейчас еще раз посмотрел маршруты и увидел, что одного маршрута нет. Поэтому и не работало. А был уверен, что все есть.
Всем спасибо за ответы.