Всем доброго времени суток !
Проблемка следующая:
Имею разветвлённую сеть филиалов, построенную в основном с использованием DFL-800.
Некоторые ветви сделаны таким образом, что устройства включены "цепочкой", например, основное устройство группы получает интернет, поддерживает туннели с головным офисом, и далее по цепочке
*Internet --> wan1|lan|wan2-->wan2|lan|dmz-->dmz|lan раздаёт эти радости рядом расположеным филиалам.

Из головного офиса я могу нормально работать с web-интерфейсом только самого первого (основного) устройства. При обращении к устройству, расположенному далее в цепочке, появляется форма авторизации, принимается имя и пароль, а далее имеем или пустые фреймы интерфейса или интерфейс с пустым левым фреймом (не догружается дерево объектов).
Браузеры пробовал разные, антивирус отключал.

_________________
5 x DFL1660, 36 x DFL870

И по http и по ssh не работает?

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

схему (топологию) не понимаю

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Конкретно по приведённому примеру :
*Internet --> wan1|lan|wan2-->wan2|lan|dmz-->dmz|lan
на схеме - 3 роутера
Первый - основной. На wan1 приходит интернет от провайдера, через него поднимаются тунели. lan - локалка здания 1, wan2 - уходит в следующее здание на wan2 роутера здания 2 и т.п.


не по http ни по https не догружается страница

_________________
5 x DFL1660, 36 x DFL870

При нормально настроенной маршрутизации и правилах все должно работать ок. Можно попытаться еще логи посмотреть на всех DFL, участвующих в цепи.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Если хоть что-то грузиться, то маршруты работают.
Наверное надо начать с первого DFL -возможно на нем режется трафик, например, по IDP или ALG

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Вполне возможно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Логи основного и промежуточных устройств чисты, правила и маршруты корректны, фильтрации между устройствами внутри группы нет (все правила используют all_services). Может что-то в более тонких параметрах покрутить надо ?

_________________
5 x DFL1660, 36 x DFL870

можно попробовать уменьшить MTU, по результатам пинга этого DFL с ключом -f

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Результат эксперимента - максимальный MTU=1472.
Непонятно, почему устройство так неадекватно реагирует на фрагментированные пакеты....
Пинг пакетами по 1500 байт проходит без проблем...

_________________
5 x DFL1660, 36 x DFL870

Так вы решили проблему или нет?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Предлагаете уменьшить MTU ?

_________________
5 x DFL1660, 36 x DFL870

Предлагаю. Чтобы попробовать. Ибо нет других идей.

Можно еще везде прошивки обновить до 2.27.03

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.