Добрый день.

После нарезания сети на VLAN и вынесения DFL в отдельную подсеть. Перестали ходить icmp.

Сейчас установлено так

DFL в отдельной подсети - 192.168.200.10

Переделал маршрутизацию

прописан маршрут на L3 - (192.168.200.10)

0.0.0.0 0.0.0.0 192.168.200.10 1 Default Primary None Active.

На клиентской машине (192.168.100.100) Шлюз 192.168.100.1. Инет работает. Все отлично.

Также на DFL Прописан паршрут

Интерфейс Lan Сеть lannet (192.168.100.0/24) Gateway 192.168.200.1

Но все равно пинги во вне не идут, трасерты тоже. Вижу только внешний IP на DFL, Шлюз провайдера не вижу...

Но если допустим находится в подсети DFL и ставить его шлюзом (192.168.200.10 ) то ICMP ходят

Пробовал даже так заносил все устройства в одну подсеть

DFL - 192.168.100.10
DGS-3612 - 192.168.100.1
Client - 192.168.100.150

Если на Clietn устанавливаю шлюз 192.168.100.1 - ICMP дальше этого шлюза все равно не ходят
Если ставить шлюз - 192.168.100.10 - ICMP ходят прекрасно

Покажите правила и Status > Routes

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Status Routes -

192.168.100.0/24 lan 192.168.200.1 80
xxx.xxx.xxx.xxx/24 wan1 100
192.168.120.0/24 wan2 100
172.17.100.0/24 dmz 100
192.168.200.0/24 lan 100
0.0.0.0/0 wan1 xxx.xxx.xxx.xxx 100

Правила -

lannet - 192.168.200.0/24
MAIN_LAN - 192.168.100.0/24

# Name Action Source interface Source network Destination interface Destination network Service
1 drop_smb-all Drop lan lannet wan1 all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan1 all-nets ping-outbound
3 allow_ftp-passthrough_av NAT lan lannet wan1 all-nets ftp-passthrough-av
4 allow_standard NAT lan lannet wan1 all-nets all_tcpudp
5 ALLOW_MAIN_LAN NAT lan MAIN_LAN wan1 all-nets all_tcpudp
6 all_icmp Allow any all-nets wan1 wan1net all_icmp
7 ping NAT any all-nets any all-nets ping-inbound

Правило 4 перекрывает следующее за ним правило 5
Правила 6-7 для ICMP не будут работать из-за примененных в них Allow и any

Странно, как у клиентов есть интернет, если нет правил NAT lan/MAIN_NET wan1/all-nets

Чтобы DFL пинговался сам, вам нужно правило
Allow lan/MAIN_LAN core/lan_ip ping-inbound

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Добавил правило

Allow_TRACERT Allow lan MAIN_LAN core lan_ip all_icmp

Также пробовал

Allow_TRACERT Allow lan MAIN_LAN core lan_ip ping-inbound

Не помогло...

Удалил правила -
6 all_icmp Allow any all-nets wan1 wan1net all_icmp
7 ping NAT any all-nets any all-nets ping-inbound

Теперь wan1_ip DFL не пингуется..только локальный.

Пинг файрволла
allow <lan или группа LAN> <lannet или группа локальных сетей> core <группа адресов интерфейсов DFL> ping-inbound

Трассировка наружу
1. Min TTL = 1
2. NAT <lan или группа LAN> <lannet или группа локальных сетей> <wan1 или группа внешних интерфейсов> all-nets ping-outbound

И, как принято на стадии отладки, эти правила выше остальных.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сделал все как указано...Не помогло теперь шлюз даже не пингуется

Настройки правил


Настройка TTL

Опишите подробно какие есть сети (в частности, отдельные локальные подсети), в какие интерфейсы они воткнуты, чего вы хотите добиться и что именно не работает.

А лучше схемку нарисуйте.

В вашей задаче нет никаких проблем. Надо только точно понимать топологию.

Кроме того, скрин-шоты надо прилагать читаемые. У меня глаза не казенные. И без запчастей.

Не ленитесь и снимайте на http://radikal.ru галку Уменьшить до 640 пикселей

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Недочеты понял. Выкладываю топологию сети



1)Проблема все таже. Из любой подсети не проходят трасерты и пинги во вне. С DSG - 3612 также они не проходят

Если находится в одной и той же подсети с DFL и ставить ШЛЮЗ DFL то все впорядке.

Но если допустим в той же подсети (192.168.200.0/24 ) указать шлюзом DGS - 192.168.200.1 - то проблема появляется

Есть еще вопросы.

Итак, другими словами. Если не прав - уточните.

У вас в локальной сети 5 подсетей 192.168.100.0/24-192.168.103.0/24 и 192.168.200.0/24.

всю локальную маршрутизацию выполняет DGS-3612, а DFL-860E обеспечивает выход в инет всех этих сетей.

И все работает, кроме пингов и трейсов наружу. Или инет на них также не работает?
Я имею ввиду нарисованную схему.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да все верно. Только в начале в случае более короткого примерно, я описал правила для инета только для двух подсетей.

Если исходить из данной топологии. То все верно инет работает (Разрешающее правило NAT написано для группы сетей), нареканий нет. Не ходят только пинги и трасерты дальше DFL...

Все маршрутизацию выполняет DGS-3612.

Ну тогда те два правила, что я написал, должны работать. И расположите их выше остальных не в папке расположения, а в IPRules, в корне - выше всех прочих правил и папок.

Я думаю, что какое-то выше расположенное правило все портит.

Что-нть страшное типа

allow any all-nets any all-nets all_icmp

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Cпасибо. Все заработало.

В чем же было дело?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.