Возникла задача пропустить в локальную сеть, на конкретную машину (1С сервер), кассовый аппарат, который ломится через беспроводной модем на 4997 порт.
Не получается настроить DFL 800 что бы пропускал.
DHCP не поднят.
Пробовал настраивать как описано тут viewtopic.php?f=3&t=64076.
Пробовал как в оф. мануале: http://www.dlink.ru/ru/faq/85/480.html
Пробовал создавать таблицы маршрутизации: viewtopic.php?t=65359&start=14
Ничего не получается.
Кассовый аппарат не конектится.
Порт извне закрыт:
Без фаера, напрямую все работает, кассовый подключается.
Подскажите плиз.

Может у кого-то хоть какие-то есть соображения?
Да что в голову первое взбредет на худой конец)))
А то замаялся, не знаю уже.

Создаешь сервис для нужного порта
Создаешь 2 правила SAT и NAT. В SAT в закладке SAT ставишь в качестве ip назначения нужный компьютер(можно заранее его создать в адресной книге). Вообщем-то все.

_________________
DFL-860E(2.40.03)
DFL-860E(2.40.01)
DFL-860(2.27.03)
DFL-800(2.27.05)
DFL-800(2.27.07)
DSR-500N x2(1.06B43)
DSR-250N(1.05B53)
DSR-250N x4(1.05B20)
DIR-330 x10(1.23)
DIR-615 x2
DIR-628
DI-824 x2
DWL-2100AP x2

Cisco ASA 5505
2901

Mikrotik 750GL

jack86, не SAT и NAT, а SAT и Allow. Это для входящих соединений снаружи. Также нужно не забыть выпустить трафик изнутри и создать исходящее правило. Вот тут действительно надо сделать NAT.

Titan7M, в момент попытки соединения кассового аппарата что видно в логах DFL?
Вообще неплохо было бы выложить скрин с правилами.

Вот скрины:
правила -
сервис -
SAT -
Исходящее правило для нужной машины - создано: NAT-all_services
Это было сразу сделано как только возникла задача. После, уже что только не пробовал. Не получается пропустить модем таким способом.

Ну в принципе нормальные правила. Правильнее было бы интерфейс источника указывать не any, а конкретный, скажем, wan (не знаю, какой точно в вашем случае).
Что пишется в логах DFL при попытках кассового аппарата установить связь?

any поставил от отчаяния))
Согласен, правильнее wan1, нагрузка фаер поменьше тогда.

Вот логи:

Что-то я вообще не вижу попыток доступа на порт 4997.

В конкретном случае надо РРРоЕ1, кажется, интерфейс
Ну и в логах ничего не видно, да

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сорри, не правильный скрин логов выложил ...
Вот лог с попыткой коннекта:



Разбирался что это за дроп такой tcp_seqno_too_high_drop ... получается что ваще модем чуть ли не атачит и фаер его дропает.

Пробовал в настройках TCP выставить параметр TCP Sequence Numbers на Ignore ... и ничего ... просто получал следующий лог с дропом:



А вот по этому дропу ваще ничего не накопал ...

С логов видно что фаер срабатывает нормально - форвардит на локальную машину 192.168.100.188 ...

Ваще уже ума не приложу с чем же тут проблема((

У вас объект-адрес - PPPoE1_ip, а интерфейс - wan2?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Извиняюсь ...
С момента создания поста я успел подключить еще один ISP на wan2. Подключение статик ИП + МАК. Белый ИП.
Модем прошил что бы ломился на новый ИП. Правила проброса портов переделал на wan2:
1) 1C_port_SAT, SAT any all-netsАдрес: 0.0.0.0/0 core wan2_ip, 1C_port (Порт назначения: 4997)
2) 1C_port_allow, Allow, any, all-netsАдрес: 0.0.0.0/0 core wan2_ip, 1C_port (Порт назначения: 4997)

Хотя бы настройте проброс портов с того интерфейса, с которого вы выходите в инет. Это наиболее простой случай. С него и начинайте. В противном случае вам придется настраивать и PBR в придачу.

Покажите status-Routes
и таблицу маршрутов main

И, пожалуйста, не так мелко, а вполне читаемо.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

... так с этого и начиналось, туда и настраивал ... был всего один провайдер на wan1 ... тоже самое творилось с пробросом и на одном интерфейсе.

Вот таблица main:


Вот статус-марштруты:


Ну и еще одна таблица Alt используется для настройки в правилах маршрутизации какой трафик на какой интерфейс выпускать:

Для начала отключите и не используйие PBR. Настройте простой проброс порта (типа rdp) через интерфейс wan1_phys.

Все возможные варианты я изложил в

http://forum.dlink.ru/viewtopic.php?f=3&t=64076

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.