Перенаправление запросов в DFL 1600.

Имеем - DFL 1600 / локальная сеть 192.168.100.0/24 и интерфейс Lan - 192.168.100.1
Имеем VPN тунель через инет. Удалённый lan = 172.16.100.0/24 и интерфейс Lan - 172.16.100.1.
На удаленной площадке имеется сервер 172.16.100.100. Доступ к серверу только с определённых адресов и адреса должны быть в подсетке 172.16.200.0/24

Возможное ли такое? Т.е. создать этакий форвардинг, когда будет запрос на адрес 172.16.100.100 из локальной сетки 192.168.100.0/24, будет перенаправление с подстановкой при этом нужного IP 172.16.200.20.

В CISCO это кажет так делается, хотя могу заблуждаться
ip forward-protocol nd
ip route 192.168.100.15 255.255.255.255 172.16.100.100
ip route 192.168.100.10 255.255.255.255 172.16.100.100

Я могу заблуждаться, но в приведенных цисковских командах есть маршруты, но нет упоминания о сети 172.16.200.0/24

Допустим, подсети 172.16.200.0/24 нет ни на одном из DFL. Вашу задачу можно решить, подняв и используя ее на любом из устройств, но логичнее и проще сделать это на 172.16.100.1
Будем считать, что туннель у вас поднят нормально и других проблем кроме сервера нет

1) Objects > Address book > InterfaceAddresses
lan200_ip = 172.16.200.222 # адрес, с которого разрешен доступ к серверу и который будет ассоциирован с DFL
lan200_net = 172.16.200.0/24

Objects > Address book # аналогичные объекты у вас уже есть, эти для простоты, на практике используйте ваши
server_ip = 172.16.100.100
remote_net = 192.168.100.0/24

2) Interfaces > ARP
ARP publish: lan lan200_ip

3) Routing > Routing tables > main
(interface network metric)
core lan200_ip 0
lan lan200_net 100 # метрика аналогична маршруту lannet

4) Rules > IP rules
# дополнительное правило, поставьте выше имеющихся для тоннеля
NAT ipsec/remote_net lan/server_ip all_services, NAT: source ip = lan200_ip
# стандартные правила для прохождения трафика
Allow ipsec/remote_net lan/lannet all_services
Allow lan/lannet ipsec/remote_net all_services

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

К большому сожалению удаленную сеть трогать не могу. Это не моё. Это гос.структура по типу ЕГАИС, которая диктует условия, а я говорю так точно.
Пробую ещё раз более точно объяснить желаемое(требуемое).
Это требуемая и желаемая схема сети.


VPN на моё участке (это параметры мне даются и я должен исполнить)
Local Network: 172.16.77.0/24
Remote Network: 172.16.0.0/24
Remote Endpoint: 93.158.134.11
Encapsulation mode: Tunnel

Сказано сделано. Как написали так и сделал. Тунель поднялся(хотя уверяли что если оборудование не CISCO то работать не будет). При этом доступ на удалённые ресурсы проверил - работает т.е.
1. С 172.16.77.100 --> 172.16.0.100:1433
2. С 172.16.77.60 --> 172.16.0.60:3128
3. С 172.16.77.50 --> 172.16.0.50:80.

Но у меня в офисе сеть 192.168.100.0/24.
И соответственно вопрос возможно совместить ужа с ежом. Т.е. при запросе из локальной сети 192.16.100.х из программы на ресурс 172.16.0.100:1433 запрос перенаправлялся в VPN и подставлялся адрес с которого шёл запрос 172.16.77.100.

Или нет возможности сделать на одном устройстве? И если нет, что можно предпринять?

P.S. Код для CISCO диктовался по телефону и я мог и ошибиться.

Подсеть 172.16.77.0/24 уже есть у вас на DFL?
Допустим, да, но адрес DFL другой и с него доступа к серверу нет
Тогда все просто - надо сассоциировать адрес 172.16.77.100 и делать NAT

1) Objects > Address book > InterfaceAddresses
lan77_ip = 172.16.77.100

2) Interfaces > ARP
Publish lan lan77_ip

3) Routing > Routing tables > main
lan77_ip core 0

4) Rules > IP rules
# дополнительное правило, поставьте выше имеющихся для тоннеля
NAT lan/lannet ipsec/remote_server_ip all_services, NAT: source = lan77_ip
# стандартные правила для прохождения трафика
Allow ipsec/remote_net lan/lannet all_services
Allow lan/lannet ipsec/remote_net all_services

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо работает. Имеются странности. Разбираюсь. Пока не осознал закономерностей. Но работает.

Но пришла новая беда. Потребовалось запустить мобильный пользователей в VPN. Думал просто, как обычный SAT.
Привязал ещё один IP на WAN1 - 87.250.251.12
Сделал SAT на 172.16.77.100 через порт 1433.
Пробую сделать telnet 87.250.251.12 1433. И ни чего.
Проверяю, изменив направление. Делаю SAT на 192.168.100.16 (это почтовый сервер) порты 1433-->25. Великолепно работает.
Привожу схему.


Что-то должно быть особенным? Или нельзя такого делать в принципе?

У вас какая задача для портмаппинга? Порт 1433 это MSSQL, а не VPN.
У 172.16.77.100 шлюзом прописан DFL? Нет файрвола, который может блокировать входящие из внешних подсетей? Попробуйте заменить второе allow правило в цепочке на NAT.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

172.16.77.100 - это своего рода виртуальный IP привязанный к LAN - интерфейса.
У меня возможность(требование сторонней организации) ходить через IPSec на определённые адреса только с определённых IP
1. С 172.16.77.100 --> 172.16.0.100:1433
2. С 172.16.77.60 --> 172.16.0.60:3128
3. С 172.16.77.50 --> 172.16.0.50:80.
Как таковых компьютеров с IP 172.16.77.100, 172.16.77.60, 172.16.77.50 нет.

Вы помогли мне сделать, что из сети 192.168.100.xxx я могу выходить в сеть 172.16.0.xxx только через определенные адреса - 172.16.77.100, 172.16.77.60, 172.16.77.50. РАБОТАЕТ!
А сейчас потребовалось, что и из инета возможно было организовать такую же схему.
Т.е. компьютер 102.16.111.221(port-1433) мог добраться до 172.16.0.100(на port-1433).
Но снова повторюсь для IP 172.16.0.100 все компьютеры должны представляется как 172.16.77.100.
102.16.111.221-->172.16.77.100-->172.16.0.100

Сейчас работает схема 192.168.100.ххх-->172.16.77.100-->172.16.0.100.
Т.е. как правильно завернуть через SAT->NAT-IPSec? Или SAT->IPSec?


Сожалею в предыдущем сообщении ссылка убилась на схему. Восстанавливаю.

Для задачи через интернет надо сделать SAT+NAT (т.е. подмену и источника, и назначения). NAT - с явным указанием адреса.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Неделя поиска - неделя неудач. Не получается. И как следствие обращение к старшим товарищам.

Что имели.
lannet = 192.168.100.0/24
lan_ip = 192.168.100.1
wan_ip = 87.250.251.11

Дополнено.
1) lan77_ip = 172.16.77.100
2) Interfaces > ARP > Publish lan lan77_ip
3) Routing > Routing tables > main > lan77_ip core 0
4) Rules > IP rules
NAT lan/lannet ipsec/remote_server_ip all_services, NAT: source = lan77_ip
# стандартные правила для прохождения трафика
Allow lan/lannet ipsec/remote_net all_services

Работает, т.е. из сети 192.168.100.ххх можем попасть на 172.16.0.100:1433 через 172.16.77.100!
То что нужно.

Пробую дополнить правилами.
1. SAT->service->Port_1433
Source wan -> 102.16.111.221
Destination wan -> 87.250.251.11
SAT->Destination IP Address->172.16.77.100

2. Allow->service->Port_1433
Source wan -> 102.16.111.221
Destination wan -> 87.250.251.11

3. NAT-> service-> Port_1433
Source wan -> 102.16.111.221
Destination ipsec -> 172.16.0.100
NAT-> Specify Sender Address -> 172.16.77.100

Т.е. пробуем пройти 102.16.111.221 -> 87.250.251.11-> (SAT)172.16.77.100 ->NAT (172.16.0.100).
Из инета с адреса 102.16.111.221 пробуем зайти через WAN(87.250.251.11) на адрес 172.16.77.100, где нас ждёт ещё одно правило NAT на адрес 172.16.0.100.
И ничего не происходит. Логи молчат. Одно сообщение LocalUndelivered 102.16.111.221 -> 172.16.77.100 unhandled_local/drop.
Если в настройках SAT указать SAT->Destination IP Address->172.16.0.100, то в логе появляется информация о попытке коннекта через IPSec на 172.16.0.100. Но в связи с тем что имеется требование(правило) доступа к 172.16.0.100 ТОЛЬКО с адреса 172.16.77.100, то соответственно всё рубиться.

Где не прав и что подкрутить.!!!

Объект lan77_net = 172.16.77.0/24
Маршрут lan lan77_net 100

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Маршрут добавлен к существующему



Не сложилось. Нет доступа к 172.16.0.100. Ошибка в логе осталась - LocalUndelivered 102.16.111.221/172.16.77.100 unhandled_local/drop

P.S.
1. Реально проверить имеется ли доступ сначала на 172.16.77.100? Ведь это только Public IP на Lan-интерфейсе. К тому же повторюсь основные по умолчанию lan_ip = 192.168.100.1 и lan_net=192.168.100.0/24.
2. Возможно ли для простоты работы(настройки) сделать доступ на 172.16.0.100 только из интета.
3. Сожалею не могу принудить к сотрудничеству господ из подсетки 172.16.0.0/24 - они знаю только один вид оборудования........ крутые, етить их.....