Привет всем!
Подскажите пож., правильно-ли рассуждаю?
ситуация следующая:
в конторе есть сервак с Kerio Winroute Firewall на котором поднят прокси и сервис KerioVPN:
192.168.0.Х - lan - интерфейс
192.168.1.Х - wan - интерфес, воткнутый в роутер

в роутере настроена проброска портов на wan-интерфейс сервака Kerio.

появился DFL-210 и хочется постепенно удаленные объекты перевести VPN IPSec на оборудовании ДЛИНК (на объектах стоят DLink DI-804HV ), т.е. на переходный период хочется оставить и KerioVPN доступным.

логика такая:
lan - интерфейс DFL-210 цепляем в сеть 192.168.0.Х,
wan - интерфес DFL-210 цепляем в сеть провайдера (фикс IP),
dmz - интерфес DFL-210 цепляем на внешн интерфейс компа с Kerio (192.168.1.Х)
ну и внутренний интерфейс компа с Kerio (192.168.0.Х) оставляем включенным в локальную сеть.

сервак Kerio пару лет не обновлялся (подписка закончилась) и открывать его "голым задом" в Инет через DMZ не хочется, поэтому скопировал правила WAN-DMZ с WAN-LAN (исправляя интерфейсы конечно) и хочу добавить правила только для открытия портов Kerio VPN (4091 TCP UDP), а не хватает ума их написать (WAN-DMZ проброса портов для Kerio VPN)

прошивка DFL-210 обновлена допоследней с тайваньского сайта.

Прошу помощи у всемогучего All - правильно ли я рассуждаю и если да, прошу помощи в написании правил проброса портов Kerio VPN (4091 TCP UDP) WAN-DMZ.

Заранее огромное спасибо!

Objects > Services
Добавьте TCP/UDP service с указанием destination port 4091, source ports оставьте как есть

Rules > IP rules
SAT wan/all-nets core/wan_ip kerio_vpn, SAT: new destination = kerio_ip
Allow wan/all-nest core/wan_ip kerio_vpn

Для клиентов VPN сделайте NAT в локалку, иначе работать не будет

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо danilovav !
получилось правда несколько не так:
# Name Action Source interface Source network Destination interface Destination network Service
1 KerioMap SAT any all-nets core wan_ip KerioInSrv
2 AllowDMZ NAT any all-nets core wan_ip KerioInSrv
kerio vpn-клиенты теперь коннектятся к серваку в DMZ зоне и нормально с серваком работают,
но теперь не могу понять почему добавляя правило:
3 Std NAT dmz dmznet wan all-nets all_tcpudp
которое по идее должно разрешить ходить в инет через прокси kerio (находящийся в DMZ), на практике не разрешает, т.е. клиенты локальной сети
не могут выйти в интернет...

Что я делаю не так? в чем не прав?

и еще, danilovav, прошу пояснить Ваш ответ: "Для клиентов VPN сделайте NAT в локалку, иначе работать не будет"

Заранее спасибо!

Не знаю, как работает Kerio, но, возможно, "прокси" у Вас "прозрачный" настолько, что у исходящего пакета src address клиента, а не Kerio. Догадайтесь, как в этом случае пойдет ответ .
И почему правило 2 NAT, а не Allow?

alex63, спасибо за ответ.
начну с конца:
Если в правиле 2 установить allow вместо NAT, то VPN клиенты перестают цепляться...

по поводу прокси - но ведь правило 3 фактически скопировано (заменили лишь LAN на DMZ) из набора правил LAN_to_WAN, а подключив прокси через LAN порт (изменив) подсеть, выходить в инет получается...

поставьте его выше.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

MTRX:
ставишь 3-е правило первым - ни в инет не пускает, ни VPN клиенты не коннектятся...

Включите в правилах логгирование и смотрите логи, там должно быть понятно, что происходит.
Полезно также мысленно представить себе -- вот Вы направляете запрос в Интернет, как пакет будет выглядеть? под какое правило попадет? что это правило с ним сделает? Аналогично для ответного пакета.

Всем СПАСИБО!
тема закрыта.
Вопрос решился сбросом в заводские установки и настройкой правил заново.

danilovav был прав - следующие настройки правильные:
SAT wan/all-nets core/wan_ip kerio_vpn, SAT: new destination = kerio_ip
Allow wan/all-nest core/wan_ip kerio_vpn

девайс просто тупил (тот-же набор правил до сброса к заводским установкам - не работал) ну и я подтупливал, что раньше его не сбросил...думал такие девайсы так тупить не могут