D-Link • Просмотр темы - Прошу помощи (DFL-210 не работает правило ALLOW)

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Прошу помощи (DFL-210 не работает правило ALLOW)

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 13 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

m0t0dr0m

Заголовок сообщения: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Вт окт 04, 2011 06:10

Зарегистрирован: Вт окт 04, 2011 05:47
Сообщений: 7

Есть задача соединить два офиса в разных подсетях 192.168.1.0\24 192.168.0.0\24.
Маршрутизацию настроил
Сеть Интерфейс Шлюз Локальный IP-адрес Метрика
62.x.x.0/30 wan 100
179.10.0.0/24 dmz 100
192.168.1.0/24 lan 100
192.168.0.0/24 lan 192.168.1.1 100
0.0.0.0/0 wan 62.x.x.x 100

Добавил правило
# Имя Действие Интерфейс источника Интерфейс источника Интерфейс назначения Сеть назначения Сервис
1 Allow lan lan_net lan vpn_net all_tcpudpicmp

Оба конца LAN моего офиса и удаленного воткнуты в интерфейс LAN.

Пошли только пинги в другую подсеть, а вот ни данные ни какой другой траффик не передается.
Подскажите чего не хватает?

Вернуться наверх

YuriAM

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Вт окт 04, 2011 11:49

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

одну сеть на lan. другую на dmz

правила
allow lan lannet dmz dmznet all-services
allow dmz dmznet lan lannet all-services

Если непременно надо обе сети сделать на LAN, что неверно, вам сюда
http://forum.dlink.ru/viewtopic.php?f=3&t=114002

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вернуться наверх

m0t0dr0m

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Ср окт 05, 2011 06:22

Зарегистрирован: Вт окт 04, 2011 05:47
Сообщений: 7

YuriAM писал(а):

DMZ заюзать не получится на него другие планы
А вот второй вариант элегантней.

Сделал по второму варианту, но опять вернулся к тому от чего пришел. Маршруты есть пинг ходит а вот трафик не ходит (smb, mssql итп)
Грешу не на маршруты, а на правила фаервола (точнее на Allow), так как, к примеру, при аналогичных маршрутах dir320 передает весь трафик между сетями.

Правила сейчас такие (повторюсь пропускает только пинги)
# Имя Действие Интерфейс источника Интерфейс источника Интерфейс назначения Сеть назначения Сервис
1 Allow_lan_to_lan2 Allow lan lan_net lan lan2_net all_services
2 Allow_lan2_to_lan Allow lan lan2_net lan lan_net all_services

Вернуться наверх

YuriAM

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Ср окт 05, 2011 07:34

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

покажите все IP правила и status-routes

Вернуться наверх

m0t0dr0m

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Ср окт 05, 2011 08:13

Зарегистрирован: Вт окт 04, 2011 05:47
Сообщений: 7

YuriAM писал(а):

покажите все IP правила и status-routes

Маршруты:

Код:

Сеть_______________Интерфейс______Шлюз___________Локальный IP-адрес_____Метрика    
168.2.3________core_____________________________(Iface IP)_______________0
168.1.2________core_____________________________(Iface IP)_______________0
10.0.0_________core_____________________________(Iface IP)_______________0
xx.xx.xx________core_____________________________(Iface IP)_______________0
0.0.1__________core_____________________________(Iface IP)_______________0
xx.xx.0/30______wan______________________________________________________100
10.0.0/24______dmz______________________________________________________100
168.1.0/24_____lan______________________________________________________100
168.2.0/24_____lan______________________________________________________100
0.0.0/4________core_____________________________(Iface IP)_______________0
0.0.0/0__________wan__________62.xx.xx.xx__________________________________100

Правила:

Код:

#    Имя    Действие    Src If    Src Net    Dest If    Dest Net    Сервис 
1    ping_fw    Allow    lan    lan_net    core    lan_ip    ping-inbound
2    Allow_lan_to_lan2    Allow    lan    lan_net    lan    lan2_net    all_services
3    Allow_lan2_to_lan    Allow    lan    lan2_net    lan    lan_net    all_services
4    drop_smb-all    Drop    lan    lan_net    wan    all-nets    smb-all
5    allow_ping-outbound    NAT    lan    lan_net    wan    all-nets    ping-outbound
6    allow_ftp-passthrough_av    NAT    lan    lan_net    wan    all-nets    ftp-passthrough-av
7    allow_standard    NAT    lan    lan_net    wan    all-nets    all_tcpudp
8    SAT_DNS_Relay    SAT    lan    lan_net    core    lan_ip    dns-all
9    Allow_DNS_Relay    NAT    lan    lan_net    core    lan_ip    dns-all
10    RDP_IT01    SAT    any    all-nets    core    wan_ip    RDP_IT01
11    RDP_IT01    NAT    any    all-nets    core    wan_ip    RDP_IT01
12         SAT    any    all-nets    core    wan_ip    rdp
13         NAT    any    all-nets    core    wan_ip    rdp
14         SAT    any    all-nets    core    wan_ip    Tcp_8008
15         NAT    any    all-nets    core    wan_ip    Tcp_8008
16         SAT    any    all-nets    core    wan_ip    Tcp_20113
17         NAT    any    all-nets    core    wan_ip    Tcp_20113
18         SAT    any    all-nets    core    wan_ip    Tcp_20232
19         NAT    any    all-nets    core    wan_ip    Tcp_20232
20         SAT    any    all-nets    core    wan_ip    http
21         NAT    any    all-nets    core    wan_ip    http
22         SAT    any    all-nets    core    wan_ip    Tcp_20233
23         NAT    any    all-nets    core    wan_ip    Tcp_20233
24    Autosat_gps_oborudovanie1    SAT    any    all-nets    core    wan_ip    Autosat_gps_oborudovanie1
25    Autosat_gps_oborudovanie1    NAT    any    all-nets    core    wan_ip    Autosat_gps_oborudovanie1
26    Autosat_gps_oborudovanie2    SAT    any    all-nets    core    wan_ip    Autosat_gps_oborudovanie2
27    Autosat_gps_oborudovanie2    NAT    any    all-nets    core    wan_ip    Autosat_gps_oborudovanie2
28    Autosat_gps_oborudovanie3    SAT    any    all-nets    core    wan_ip    Autosat_gps_oborudovanie3
29    Autosat_gps_oborudovanie3    NAT    any    all-nets    core    wan_ip    Autosat_gps_oborudovanie3
30    Autosat_gps_global    SAT    any    all-nets    core    wan_ip    Autosat_gps_global
31    Autosat_gps_global    NAT    any    all-nets    core    wan_ip    Autosat_gps_global
32    Autosat_rdp    SAT    any    all-nets    core    wan_ip    Autosat_rdp
33    Autosat_rdp    NAT    any    all-nets    core    wan_ip    Autosat_rdp

Вернуться наверх

YuriAM

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Ср окт 05, 2011 10:30

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Все с правилами и маршрутами в порядке. так что отключайте всякие антивирусы и файрволлы на компах, участвующих в тестах.

Для справки:

Я всегда для удобства разрешаю пинги типа:

allow lan-all lan_nets core fw_addresses ping-inbound, где
lan-all - группа локальных интерфейсов включая нужные VPN
lan_nets - группа локальных подсетей, включая нужные VPN
fw_addresses - все адреса на DFL

Вместо кучи правил проброса портов часто достаточно ограничиться этим

SAT wan-all all-nets core wan_addresses svc_group
Allow wan-all all-nets core wan_addresses svc_group, где
wan-all - группа глобальных интерфейсов
wan-addresses - группа глобальных адресов DFL
svc_group - группа всех пробрасываемых сервисов

Вернуться наверх

m0t0dr0m

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Ср окт 05, 2011 10:49

Зарегистрирован: Вт окт 04, 2011 05:47
Сообщений: 7

YuriAM писал(а):

Все с правилами и маршрутами в порядке. так что отключайте всякие антивирусы и файрволлы на компах, участвующих в тестах.

Так в том то и дело, что антивирусы и фаерволы не причем.
Я ведь сюда не просто так пишу ,я уже провел эксперимент.
В данном эксперименте есть два компьютера, две подсети, и две железки dfl210, dir320.

Сначала тест на одной железке потом на другой.
Когда все маршрутизируется на dir320, то весь трафик ходит туда сюда без проблем.
Как только включается вместо него dfl210 с данными настройками, то ходит только пинг((( остальной трафик не идет.
В ходе эксперимента ничего с компьютерами не делается меняется только сетевое оборудование.

Я не дома упражняюсь, а по работе (вместо dir320 решили взять оборудование с фаерволом и класса повыше, а вышла вот такая ерунда).

Надеюсь подскажите куда копать дальше. Спасибо за помощь).

Вернуться наверх

YuriAM

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Ср окт 05, 2011 11:13

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

DIR-320 c родной или альтернативной прошивкой?

Опишите или покажите схему его подключения, при которой все работает. Полностью. Включая адреса компов, подсетей, шлюзов, масок и т.п.

Дело, наверняка, не в DFL. У него в правилами и маршрутами все несложно. проверяйте также маршруты на компах (route print)

Вернуться наверх

m0t0dr0m

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Ср окт 05, 2011 11:58

Зарегистрирован: Вт окт 04, 2011 05:47
Сообщений: 7

DIR-320

Схема такова есть головная контора и удаленный участок. Оба офиса подключены к одному провайдеру который дает нам интернет в головной офис и дополнительно соединяет наши офисы в локальную 100мбитную сеть, своими средствами.

То есть перед моим оборудованием (сейчас dfl210, раньше dir320) в головном офисе и участке, стоит оборудование провайдера на котором прописаны маршруты до соседней подсети.

Задача:
В головной конторе, иметь доступ в интернет и иметь доступ к собственной и удаленной подсети.

Дано:
Настройки провайдера

Интернет головной офис
Ip 62.x.x.x
Gateway 62.x.x.x

Подсеть головной офис
Ip 192.168.1.1/24
Gatewey 192.168.1.1
Подсеть удаленный офис
Ip 192.168.2.1/24
Gateway 192.168.2.1

Условия:
Попасть в другую подсеть возможно лишь указав на компе в сетевых настройках шлюзом оборудование провайдера.
Есть люди которым нужен и интернет и удаленная подсеть.

Решение:
Либо прописать в настройках сети шлюзом, глобальный шлюз и маршрутизацию в другую подсеть на каждом компе.
Либо настроить маршрутизацию на оборудовании (что уже сделано и работало на dir320 и не работает на dfl210)

Первый метод не вариант.

В итоге людям в настройках нужно будет прописать локальный ip и в gateway адрес dfl210 и все должно работать.

Если вам нужно эмулировать ситуцию то я могу выслать бэкап настроек.

Вернуться наверх

YuriAM

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Ср окт 05, 2011 17:38

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Уже лучше. Намного. Так и надо излагать с самого начала.

От провайдера идет один шнурок или два?

Подсеть 192.168.2.0/24 маршрутизируется напрямую через шлюз провайдера Gateway 62.x.x.x ?

Вернуться наверх

m0t0dr0m

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Чт окт 06, 2011 04:00

Зарегистрирован: Вт окт 04, 2011 05:47
Сообщений: 7

YuriAM писал(а):

Уже лучше. Намного. Так и надо излагать с самого начала.

Я думал проблема проще) Буду стараться.

Цитата:

От провайдера идет один шнурок или два?

Два шнура. Один это интернет, второй это локалка в соседнюю подсеть.

Цитата:

Подсеть 192.168.2.0/24 маршрутизируется напрямую через шлюз провайдера Gateway 62.x.x.x ?

Нет!!! В том то и дело, что подсеть маршрутизируется через их оборудование (Gatewey 192.168.1.1) от которого два шнура идет ко мне. А интернет маршрутизируется другим оборудованием находящимся где то у провайдера.
Получается два шлюза надо писать чтобы ходить и туда и туда.

Вернуться наверх

YuriAM

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Чт окт 06, 2011 11:39

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Как я понимаю, один шнурок от провайдера воткнут в wan, другой в lan?

надо прописать правило

fwd-fast lan lannet lan lannet2 all-services

маршрут должен быть
lan lannet2 lannet2_gw

Кроме того, было бы совсем неплохо раздать по DHCP правильный маршрут на вторую сеть.

Вернуться наверх

m0t0dr0m

Заголовок сообщения: Re: Прошу помощи (DFL-210 не работает правило ALLOW)

Добавлено: Чт окт 06, 2011 12:12

Зарегистрирован: Вт окт 04, 2011 05:47
Сообщений: 7

YuriAM писал(а):

Я вам премного благодарен!!!!

Все работает.

Спасибо от души за квалифицированную помощь!!!

Вернуться наверх

Страница 1 из 1

[ Сообщений: 13 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot], Google [Bot] и гости: 233

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения