Суть вопроса. Имеется внешний айпи адрес. На нем джунипер SRC-100. После него win2008r2: dns server, dhcp, сервер доменных имен..
возможно ли поставить за джунипером dfl-800 или dfl-860, как VPN-Server и фильтровали ещё веб трафик, типа вконтакте, одноклассников, торрента и тому подобное. forefront не могу поставить, так как админ не домена сегмента сети...

Только что проделал такой эксперемент.

DFL на WAN порт получает интернет по PPPoE.
Локальная сеть за DFL - 192.168.0.0/24
В один из LAN входов воткнут WAN порт от DIR-300.
На DIR-300 настроен интернет по DHCP и локальная сеть 192.168.3.0/24.
DFL выдает DIR по DHCP все настройки (включая DNS) и на DIR есть Интернет.
Компьютер с IP 192.168.3.11 подключается по LAN к DIR-320 и также имеет доступ к интернет.
Все запросы на адреса в Интернет вначале nat'ятся DIR, потом уже DFL.

Т.е. интернет проходит вначале через DIR-300, потом через DFL, потом уходит провайдеру (у него там свои железки стоят).

Обратное (DFL за DIR) не стал ставить т.к. лень все перенастраивать

В вашем случае на WAN DFL приходит кабель от джунипер, а из LAN идет дальше.
С помощью правил c ALG настраиваете фильтрацию http трафика через WCF + рычные правила + можно антивирус, торренты отлавливаете с помощью IDP.

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

извиняюсь, что сразу не обозначил сеть. вся сеть и все устройства должны быть в одной сети: 192.168.1.0/24. И джунипер и дфл и компы сети и сервера...Так как джунипер являет впн клиентом и от него прокинуты порты на сервера для обеспечения запросов разного рода. Как поступить в таком случае?

А почему бы между джунипер и DFL не настроить сеть 192.168.0.0/24 с настройкой маршрутов между ей и 192.168.1.0/24? Шлюзом по умолчанию будет DFL, а для админки джунипера будет доступна его сеть. Джунипер пробрасывает все порты на WAN DFL, а на DFL уже раскидывается по разным серверам.

В противном случае DFLу NATить будет нечего, соответственно и трафик пойдет мимо.
Тут нужно поднимать прокси сервер.
Хотя может я не прав и меня поправят.

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Вашу схему Juniper + DFL тоже можно реализовать, но я не вижу в ней никаких плюсов, только минусы.

Не проще ли отказаться от Juniper и выход в инет делать через DFL? Что он такого делает, что не умеет DFL?
Клиенты и сервер остаются в одной локальной сети.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

в том-то и дело, что все он умеет. но политика компании.... джунипер работает просто как шлюз и впн клиент. все остальное настроено на серверах. чтобы на джунипере поднять еще впн и файрвол нужны лицензии - их нет. вот и приходится мудрить

можно попробовать другой вариант. на одном внешнем айпи пусть висит джунипер. на другом внешнем айпи висит дфл. на дфл устанавливаем впн сервер и к нему конектятся клиенты. после этого, он должен их пропустить в сеть, в которой находится джунипер и быть членом домена. опять же, как реализовать? т.е. либо..., либо....хоть как ))) ну а прокси тогда ставить отдельным сервером типа ISA

Т.е. Джунипер будет в другой сети, нежели клиенты?

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

впн клиенты - да. им главное быть в домене чтобы пользоваться сетевыми ресурсами, а клиенты внутренней сети - они и так за джунипером и в одной сети. впн клиентам дфл будет отдавать адреса из пула адресов дхсп

Что-то поменялось ... вначале были клиенты внутри сети, которых хотелось фильтровать.
Теперь появились внешние клиенты из другой сети, которые через VPN будут попадать во внутреннюю сеть.

Так какая задача все-таки стоит?

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Воткнуть прозрачно фильтрующую железку - вполне нормальная задача
DFL умеет transparent mode, соответственно можно сделать одинаковую сеть на обоих интерфейсах
У локалки шлюзом так и останется Juniper, а DFL будет фильтровать в разрезе сети
В такой схеме я сталкивался с проблемами, если на основном шлюзе есть ARP proxy, но это тоже решается - выдаванием маршрутов через DHCP

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Задача - найти оптимальное решение в данной ситуации. Фильтровать трафик внутренней сети. Подключить ВПН клиентов к этой же сети, что бы они использовали все необходимые ресурсы.

Можно подробнее? Боюсь сам не настрою без Вашей помощи.
Еще раз наверное исходные данные.
На одном внешнем айпи джунипер. После него стоят сервера: днс, дхсп и клиенты внутренней сети.
На втором внешнем айпи адресе стоит ДФЛ-800. На нем ВПН сервер с внешними клиентами.
Как сделать чтобы внешние клиенты ДФЛ вошли в сеть после джунипера и пользовались общими ресурсами?
И может быть кроме этого ДФЛ фильтровал трафик внутренней сети?
Трафик клиентов ВПН сервера можно не фильтровать, так как они подключаются к ДФЛ-800 при помощи таких же ДФЛ и их трафик можно отфильтровать на их стороне в их подсети.

Да, это место в инструкции я почему-то упустил.
Про "прозрачный режим" можно почитать в разделе 4.7, там даже есть различные сценарии.
При этом LAN и WAN находятся в одной сети, но DFL стоит между другим роутером и коммутатором локальной сети.

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

У DFL-800 4 физических интерфейса. Вы можете задействовать 3 - 2 для transparent mode (фильтрации) в разрез локалки и джунипера, один для внешнего интернета
На внешнем интерфейсе повесить РРТР сервер (в случае с DFL-860E могли бы попробовать SSL VPN уже), выдавать на нем адреса из DHCP пула локалки, при помощи ARP proxy удаленные клиенты будут в том же сегменте, что и локалка - доступ к ресурсам будет почти прозрачный

Более подробно...
Пусть lan смотрит в локалку, dmz на джунипер, wan1 в интернет

Interfaces > Ethernet > dmz, lan
Ставите галку enable transparent mode на оба интерфейса
Interface network = lannet на оба интерфейса
Для dmz шлюзом указываете адрес джунипера

Interfaces > Ethernet > wan1
Настраиваете адрес, шлюз, DNS, ...
Снимаете галку add default route if gateway is specified

Routing > Routing tables
Добавляете таблицу alt_wan1, ordering = only
Добавляете в нее маршрут
wan1 all-nets wan1_gw 100

Routing > Routing rules
Добавляете
wan1/all-nets any/all-nets, forward main, return alt_wan1

Interfaces > PPTP/L2TP servers
User auth > User auth rules
Настраиваете РРТР сервер по FAQ http://dlink.ru/ru/faq/85/479.html
Чтобы избежать ряда проблем, пул адресов для удаленных клиентов должен принадлежать локалке и надо включить ARP proxy

Objects > ALG > http-outbound
Снимаете галки strip
На вкладке URL filter настраиваете ограничения по сайтам
Какие надо, делаете еще ограничения

Rules > IP rules
Удаляете/отключаете правила lan_to_wan1, они не будут у вас работать
Делаете правила
# lan to dmz
Allow lan/lannet dmz/all-nets http-outbound # filter HTTP traffic
Allow lan/lannet dmz/all-nets all_services # pass thru other traffic
# pptp clients
Allow pptp_server/pptp_pool lan/lannet all_services # allow traffic from PPTP clients to LAN

В целом - все
Если есть необходимость, можно создать обратные пары к правилам, чтобы разрешить прямой трафик от джунипера до локалки и от локалки до РРТР клиентов
Правила фильтрации можно ужесточить, разрешив только определенные протоколы, что-то явно запретив - тут уже вам простор для действий
Я немного не уверен с параметрами transparent mode т.к. мало конфигурил, но вроде бы так должно быть

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc