Здравствуйте !
Весь мозг сломал себе , в общем ситуация следующая :
сеть
несколько VLAN ( 17 19 20) DFL1 <--IPsec--> DFL 2 (Lan-net 18)
туннель натянут с All-nets.
правила с двух сторон прописаны верно и прописаны с самописными сервисами TCP\UDP 0-65535

в Vlan 17 стоит накопитель DNS-323 в сети 18 (Lan-net 18) стоит накопитель Synology.

так вот вопрос .....
из сети 17 , не видно по самбе накопитель в 18 подсети через туннель, при этом SSH и HTTP, к этому же накопителю прекрасно . Грешил на всякие брандмауэры на компах , ан нет , медиа плеер Dune - тоже не видит накопителя в 18 подсети.
зато с компов из 18 подсети - прекрасно видно накопитель в 17 подсети .
стоит только комп и приставку перетащить в 19 подсеть, вуаля - все работает .

пробовал прописать правила с сервисом SMB-all , безрезультатно .

делаю запрос из 17 подсети в сеть 18 за туннелем по SMB , зрю в статус соединения обоих DFL - пустота ....
трассировки и прочее проходит на ура ..... вот только самбы не видно ....

PS ошибки в правилах практически исключены . на DFL 1 интерфейсы сгруппированы , и в правилах используется группа интерфейсов .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Бродкасты через L3-маршрутизацию не ходят. Но обращение вида \\192.168.1.10\share должно проходить. Чтобы по имени, потребуется DNS или WINS. Другая возможная причина -- слишком умный файрволл на сервере, не пропускающий обращения из другой подсети.

PS. Сразу не обратил внимание на ник, прошу прощения за прописные истины . А обычная Винда при таком раскладе расшаривается?

да все нормально ... если приставку перегнать из 17 подсети в 19- то все работает нормально ...
в общем какая то проклятая 17я подсеть оказалась .

да я пролазел весь этот синолоджи .... из других подсетей вопросов нету .. даже от удаленных .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

т.е. из удаленных сетей через IPsec накопитель Synology доступен нормально. Но если он в 17 подсети, то нет?

Так?

И непонятно - глючная подсеть 17 или 18?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вопрос был, если в сеть 18 поставить стандартный комп с Виндой и расшарить на нем что-либо, будет доступ?

да будет видно

накопитель в 18 подсети . а из 17 его не видно по самбе .... ssh\http\ftp - без проблем .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Володь, действительно, должно быть видно.
У меня примерно такая же топология:

Win7Pro
|
192.168.101.0/24 --- NAS NetGear (SMB, HTTP/S, FTP, icmp)
|
[DFL]
|
IPSec
|
[DFL]
|
192.168.102.0/24 --- NAS QNAP (SMB, HTTP/S, FTP, icmp)
|
Win7Pro


Я прекрасно вижу все ресурсы на всех НАС'ах и с одной и с другой подсети. Запрашиваю по IP, правда....
P.S.: ...только пока не пообрубаю никак пальцы у Брандмауэров, чтобы машины друг друга видели... Кстати, ребят. подскажите, как лучше/корректнее пообрубать?

Так что ковыряй Синолоджи!!!

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

ну прям какая то неприязнь у синолоджи к 17 подсети по самбе
сам удивляюсь

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Т. е. получается так?

17 -> Synology (18) не видит
19 -> Synology (18) видит
20 -> Synology (18) видит
17 -> Винда (18) видит

Действительно, чушь какая-то. Можно было бы предположить косяк с маской на Synology, но как тогда другие протоколы работают? Я бы тогда попробовал взаимно поменять адресацию 17<->19, не трогая теги, порты и пр., если это не очень тяжело.

не трогать теги не получится ...
тк 17 я подсеть дефолтный тег, а 19 и 20 навешеные.

я вот думаю натянуть PPTP туннель ,
как себя поведут DFL что у него на другом конце одинаковые подсети будут ?

да и добавлю

18 -> 17 (dns323 smb) - видит .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Уже интересней . "Дефолтный" -- это в смысле никакого? 802.1Q удлиняет фрейм на 4 байта. Попробуйте поиграться с MTU.

на накопителе MTU стоит 1500, думаете есть смысл уменьшить до 1496 ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

без результатно ... да и менять можно дискретно .
1500, 2000, 3000 и так далее

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ура !!!!!! я его победил !!!!!!!!!!!!!!!

как всегда , сам чудак на букву М

по сложившейся ситуации , получилось так что на заре экспериментов типа пробовал делать балансировку, а тк туннели были подняты с параметрами All-Nets и естественно , все там настроено было .... для интернета , то в целях эксперемента были обеденены интерфейсы Internet и IPsec в один интерфейс, и он же использовался в правилах типа выхода в инет.

а тк в 17 подсети ни кто не пользуется инетом , то естественно заметить это смог только сейчас, и по такой глупости !

а тк эта папка правил (lan_to_internet) была выше чем папка правил с туннелем , естественно все перекрывалось .
отсюда и глюки все. поэтому по сути 17 подсеть , натилась в 18ю.

а выявить , точнее направить на правильный путь помог простой скриптик на синолоджи .


ну а дальше перебор всего в течении часа , и отключение всех NAT правил по очереди .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку