Добрый день.
Есть головной офис и филиал, связаны двумя DFL-210 (ipsec). В DMZ DFL-210 в головном офисе сидит веб/мейл-сервер. У пользователей головного из lan в dmz проброшены соотв. порты для приема-отправки почты. В настройках, например, аутлука, сервер вх-исх сообщений прописан как 172.17.100.253.

1. Никак не могу понять, каким образом реализовать работу с почтой в филиале. То есть хочу забирать-получать почту в филиале через VPN, но пока даже примерно не могу представить, как это реализовать. Помогите пожалуйста с правилами.

2. Предположим, пользователям надо ограничить размер скачиваемых файлов - но так, чтобы с одного сайта качали без ограничения на размер, а со всех остальных - с ограничением. Пробовал разную комбинацию двух правил, но они перекрывают друг друга. Можно ли это как-то реализовать?

1. Вам надо в параметрах туннелей со стороны главного офиса прописать не только lannet, но и dmznet (используйте группу) и сделать аналогичные lan правила allow

2. HTTP ALG правило должно быть одно, ALG работает на 7 уровне, поэтому комбинируйте все в одном правиле
Если не получается, можно, например, использовать внешний прозрачный прокси

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А как DFL-210 в филиале поймет, что мы обращаемся к DMZ DFL-210 в главном офисе, а не к его собственному?



А разве можно скомбинировать в одном правиле HTTP ALG 2 ограничения на размер файла? Насчет внешнего прокси - вряд ли, хотелось бы обойтись DFL-210.

1. Так сделайте в филиале подсеть на dmz другую

2. Комбинировать нельзя

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Все равно не совсем понимаю, простите за тупость. Написал аналогичные правила для DMZ на DFL-210 в главном офисе. Изменил сеть на DMZ в филиале.
Правила:
1 allow1 Allow dmz dmznet D8-ipsec D8-remotenet all_services
2 allow2 Allow D8-ipsec D8-remotenet dmz dmznet all_services
3 allow_core Allow D8-ipsec D8-remotenet core dmznet all_services

Не пущщает. В логах вообще молчок.

В параметрах IPsec туннелей у вас со стороны главного офиса стоит только lannet. Сделайте local network группу из lannet + dmznet, на филиальном аналогично для remote network.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, это было очевидно! Просто я уперся в правила и совершенно забы про параметры туннеля, в которых был прописаны только локальная и удаленная сети, а dmz не было. Спасибо большое!
Хотя, по факту, наверно почту придется делать терминальной, сильно большие сообщения ходят.

Но вот с HTTP ALG вопрос остается открытым. Есть ли какой-либо вариант добиться того, что я хочу, используя DFL-210?

Нет, по второму вопросу только использовать внешний L7 (прозрачный прокси).
Даже на ASA делается также (хотя там возможности шире, не спорю).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc