У меня имеется три подсети: локальная 2.0 и две по маршрутизации 28.0 и 31.0. Существует общее правило для всех этих подсетей которое позволяет им выходить на определенный ip 77.40.48.50 интерфейса wan по всем портам, и обратно. Но! Правило работает только для локальной сети. Для остальных подсетей происходит в логах conn_open и в соединениях пишут SYN_RCVD. Далее соединение закрывается по таймауту. Что может быть? Пути настроены верно, но соединение не поднимается.
Прошивка последняя.

Маршрутизация

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

а где правило которое разрешаем вашим сетям
28.0 и 31.0. ходить на WAN в ваше небо ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

To MTRX: Теоретически это должно помочь, Но. Я пробовал создать, к примеру, второй lan_ip2 31.209, но это ничего не дало. Я правильно понял, это подразумевалось сделать?
Маршрутизация идет на эту подсеть через lan через DFL-210 (192.168.2.207) на ipsec. И как быть уже с существующим маршрутом на 31.0? Его не трогать? Делал правило для пинга lan_ip2 с той подсети, и почему то пинг не проходит.

To Vladmir22: в правиле SkyServ на скриншоте разрешается выходить в wan для subnets, где subnets это 28.0, 31.0 и 2.0 на адрес skyserv - 77.40.48.50. Я думал этого достаточно, объясни какое еще надо создать правило?

конечно достаточно , если у вас DFL знает про сети и разрешает им туда ходить , а еще есть прописанные маршруты до вашего неба .

рисуйте топологию сети . иначе долго будем тут перемалывать воду в ступе .
100% проблема в маршрутизации .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

У Вас правило Allow (IP-маршрутизация). Это значит, что на skyserv должен быть обратный маршрут на все Ваши сети через Ваш интерфейс wan. Либо нужно использовать NAT.

To Vladmir22: DFL знает куда ходить, на таблице маршрутизации в моем первом посте видно маршруты. Так сейчас нарисую топологию чтобы было понятней. Помогите мне найти недостающее звено. Насчет маршрутов на небо непонятно.

To Alex63: такое правило имеется. То же самое только обратное: Wan skyserv allow all services to lan subnets.

Топология

теперь скажите , знают ли 192.168.31.207 и другие маршрутизаторы где у вас такая сеть , и что пакеты для этой сети надо пихать не в WAN а в туннель ваших DFL !?
с какми параметрами созданы туннели !?

если этих подсказок не достаточно - то подпись .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Речь шла не о правиле на DFL, а о маршрутах на Skyserv на Ваши сети за lan.

To Vladmir22 конечно знают. В ipsec поднимаются два туннеля 31.0-2.0 и 31.0-77.40.48.50. Далее по забитому маршруту на 2.207 пакеты идут на 2.209 и только оттуда на wan. Параметры ipsec sha1, md5, des. Режим main.

To Alex63: Я думал маршруты в таблице main работают в обе стороны.

Вот маршрутизация 31.207


И маршрутизация 2.207


Пакеты по логам и соединениям видно идут куда надо. Я тоже думаю что проблема скорее всего в маршрутизации. Но где может быть ошибка? ADMIN и UUO - это и есть тот самый Ipsec с двумя туннелями

Вот сижу я в деревне Гадюкино в 10 км от трассы Москва--Владивосток и думаю, какой еще указатель у въезда в деревню поставить, чтобы ее находили.
Соорудил указатель на Москву, думал он в обратную сторону тоже работает, а нет.
На трассу идти неохота, да и не разрешат там ставить .

ну предположим маршруты правильные .
а вот сюда зрили ?! http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc

последняя подсказка если нет откланеюсь

и выложите плизь настройки ВСЕХ IPSEC тунелей

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Alex63 в логах видно что с 31 подсети пакеты идут правильно, а вот обратно не знаю, наверное, нет. Но как прописать так чтобы шли?

Vladmir22, почитал ваш Фак по настройке. Делал все примерно также. Надеюсь что последняя подсказка после выкладывания всех IPsec еще будет.
Настройки IPsec с 2.207


Настройки Ipsec с 31.207

в правилах NAT поставте
и снимите трассу с удаленного DFL куда он завернет траффик

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку