Есть локальная сеть. В неё через маршрутизатор (ДФЛ-210) есть выход через порт ЛАН. В локальной сети есть несколько подсетей. Подсети физически не разделены. Необходимо получить доступ во все эти подсети из подразделения, подключенного к этому маршрутизатору через порт ДМЗ. Делаю для этого "АРП-синонимы" на порту ЛАН, чтобы маршрутизировать траф из ДМЗ в подсети за ЛАНом. Удалось добиться пингов, а остальные сервисы по тем же маршрутам не проходят, хотя все правила и маршруты вроде бы есть. Вот так вот странно получается...

Во первых вопрос - при такой конфигурации надо ли под каждую подсеть за ЛАНом создавать альтернативную таблицу маршрутизации?

_________________
ДФЛ-210/ДФЛ-800

Для начала, надо добавить дополнительные адреса на LAN для доступа к подсетям.
Для этого надо сделать ARP publish в Interfaces > ARP.
Далее, надо добавить маршруты в Routing > Routing tables > main:
Интерфейс core, сеть lan_additional_ip, метрика 0
Интерфейс lan, сеть lan_additional_net, метрика 100 (как на lan/lannet)

Для проверки разрешите пинг из доп. сети
Allow lan/lan_additional_net core/lan_additional_ip ping-inbound

Далее, правило, разрешающее трафик
Allow dmz/dmznet lan/lan_additional_net all_services

Замечу, что если дополнительные сети не используют этот DFL в качетсве шлюза, надо им указать маршрут через DFL на его сети или же вместо Allow использовать NAT

Если что-то не получается, рисуйте схему и показывайте как настроили

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо огромное. Сделаю очередную попытку - по результату отпишусь.

_________________
ДФЛ-210/ДФЛ-800

Danilovav, ещё раз спасибо вам большое. Я разобрался. Делал я всё почти правильно, как у вас, а ошибка была в последовательности маршрутов core и lan. Поднял lan выше core и заработали некоторые сервисы помимо пингов.

Теперь есть необходимость клиентам (для них ДФЛ - шлюз) из подразделения за портом ДМЗ подключаться к ВПН-ам в сетях, которые находятся за портом ЛАН Возможно ли принципиально пробросить такие сквозные туннели через ДФЛ. (У меня пока не получилось).

Ещё вопрос - на дешёвых роутерах, как я знаю можно сделать сквозную трансляцию ПППоЕ между подсетями. А в ДФЛ такого не практикуется принципиально? Или я чего-то не дочитал про такую возможность? (то, что ПППоЕ не маршрутизируемый протокол это я в курсе - потому и вопрос так поставлен).

_________________
ДФЛ-210/ДФЛ-800

PPTP пропустить через DFL не проблема, просто пишете соответствующее правило. C PPPoE, вероятно, не получится (сами сказали, почему). Только всё это напоминает забивание гвоздей микроскопом. Если все обсуждаемые сети под Вашим управлением, делайте разумную схему адресации, налаживайте везде нормальную маршрутизацию (без NAT и с DFL как default route везде) а запретами/разрешениями рулите на DFL как угодно. VPN внутри локалки не нужны.

Alex63, спасибо за консультацию. Ситуация постепенно проясняется С ВПН-ами то на самом деле всё просто - они из тех локалок, которые за ЛАН-ом, идут дальше наружу. Но вот пробросить сквозной туннель ППТП через ДФЛ пока не получается. Пробовал и отдельным правилом по 1723 порту (ППТП) и в составе правила "все сервисы" - никак не хочет подключаться Хотя маршрутизация вроде бы уже настроена, правило есть и прочие сервисы "попроще" типа ХТТП и Пинг работают.

_________________
ДФЛ-210/ДФЛ-800

Ни как не получается сквозные ВПН-ы организовать. Чего то не хватает. Разрешающее правило ППТП срабатывает, но соединение не устанавливается по истечении предела времени. Для других маршрутизаторов (не ДФЛ) для сквозного ВПН-а требуется разрешить входящий icmp. Я такое правило тоже сделал в данном ДФЛ, но это увы не помогло Может ещё какого хитрого маршрута не хватает?

_________________
ДФЛ-210/ДФЛ-800

У меня работает. Про GRE не забыли? Там есть service pptp-suite в нем уже всё включено. Виноват может быть и не DFL, через некоторых провайдеров GRE не ходит.

Да, пробовал и all-service и pptp-suite. Чего-то не хватает.
nat dmz/dmz-net > lan/arp-symlink-net | pptp-suite
Пробовал вместо arp-symlink-net и all-nets. Вечером выдожу свои маршруты и правила.

_________________
ДФЛ-210/ДФЛ-800

Всё таки не ясно, откуда и куда у Вас туннель. И зачем у Вас NAT между dmz и lan. Вам же советовал сделать внутри локалки нормальную маршрутизацию. Приведите подробную схему сети, расположение PPTP сервера и клиента, где какие маски и шлюзы заданы.

Похоже у меня всё правильно тоже настроено и должно работать, но не работает. Перечитал инструкцию к ДФЛ - там на стр.258 всё то-же самое конкретно по этой теме. Проблема похоже в неком моём местном контексте. Буду выяснять - возможно ППТП-сервер фильтрует моё подключение по каким-то признакам, которые добавляет НАТ, либо ещё что-то такое.

_________________
ДФЛ-210/ДФЛ-800

С ППТП-серверами разобрался, всё заработало. - Сбросил ДФЛ в заводские настройки, залил предпоследнюю прошивку, всё настроил с нуля и всё заработало. Всем участникам темы спасибо.

Теперь стоит другая несколько более сложная проблема по этой же теме. Первая задача в теме всё же подразумевала два физических порта ДФЛ (и два подразделения), а теперь нужно сманипулировать всего одним портом!

Итак, внутри подразделения есть несколько физически не разделённых подсетей (с одинаковыми масками 255.255.255.0). Хочу маршрутизировать их между собой с помощью всё того же одного физического порта ДФЛ. На порт добавляю с помощью АРП дополнительные ИП-адреса и пытаюсь маршрутизировать через них подсети на этот раз уже в одном подразделении обычным образом. Т.е. естественно на каждый АРП-синоним делаю по два маршрута типа того что выше пишет DanilovAV и разрешающие правила:

но с учётом конкретного порта.

При этом, если на ПК внутри данного подразделения делаю маршрут в обход шлюза (ДФЛ), напрямую в нужную подсеть и ИП из диапазона данной подсети, то в неё я попасть могу, именно так эта задача в данное время и решается, но хотелось бы решить её более красиво т.е. через шлюз.
Но, пока не получается Подскажите - возможно ли вообще то, что я задумал, используя всего один порт ДФЛ?

_________________
ДФЛ-210/ДФЛ-800

Покажите как у вас настроено - маршруты, правила

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Прошло время, но таки отпишусь. Может кто-то сэкономит благодаря этой заметке пару-тройку бессонных ночей. - Ведь всё получилось. Возможно важным моментом успеха оказалась жёсткая перезаливка системы: сохранение образа системы -> сброс системы в заводские настройки -> перезаливка из ранее созданного образа. Потом повторил все необходимые для данной задачи настройки по провилам и всё получилось:
1. ИП-правило 2 шт. на вход и выход из создаваемой виртуальной сети
2. ПБР-правило для переброски трафика в доп. табл. маршрутов для этой сети
3. один маршрут в дополнительной таблице маршрутизации: iface/network/metric соответственно core / доп.вирт.сеть / 100

ПС. Очень рад, что ДФЛ не подвёл и в этой ситуации. Участникам темы большое спасибо.

_________________
ДФЛ-210/ДФЛ-800