Помогите пожалуйста разобраться, вроде всё настроено но чего то не хватает, сильно не пинайте только учусь…
Дано:
DFL-260E
IP:192.168.1.254

VLAN1: 192.168.2.1
VLAN2: 192.168.3.1
VLAN4:192.168.4.1
VLAN5:192.168.5.1
VLAN6:192.168.6.1
VLAN7:192.168.7.1
КД: 192.168.1.10 (Поднят WINS)
DNS: 192.168.1.10

После DFL подключен управляемый свитч L2 192.168.1.100…На нём настройка Vlanов по портам…



Правило между VLANами и lannet разрешено всё. (all_services).





Настроен DCHP Relay на КД. Компьютеры в VLANах получают ip всё нормально входят в домен. Видят КД, видят другие компьютеры (если обращаться через \\compname или по ip, пингуют друг друга) . Маршруты стандартные при создание VLANов. Проблема в следующем: Не видно компьютеры в сетевом окружение, нет доступа к DFL из Vlanов по 192.168.1.254. Также не доступен web интерфейс принтеров из одного vlanа в другой. Не работает сетевое сканирование При этом печать из vlanov идёт (можно подключить сетевой принтер). Vlanы друг друга не пингуют.

Помогите разобраться... Если нужны ещё данные выложу...

настраивайте WINS сервер .


а вы разрешили администрирование на DFL из этих вланов !? система удаленное администрирование


нет ли каких фаерволов на принтерах !?! по правилам должно работать , возможно на принтерах не прописан шлюз по умолчанию !?!


вот тут старнно .... посмотрите логи на момент сканирования - возможно порт сканера не попадает в All-Service . поэтому и дропаются .

у вас нет разрешающего правила на пинги , а только на сам DFL на его CORE
сделайте подобное правило как для траффика , только с сервисами пинга

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо за помощь...

Шлюз на принтер как и днс правильный.... Интересно что не пускает на веб морду принтера из другова vlan, также не пускает из lannet (192.168.1.0)... В пределах своего vlan всё работает отлично... DFL всех пингует.... А разве правило all_service не предразумивает все доступный протоколы и порты? Что ещё может быть, второй день бьюсь....

а где вы видите все порты !? и протоколы !?
я вижу только от 0 до 255


и галочки там нет поэтому пинги и не ходят

но я бы рекомендовал все таки написать правило с нужным сервисом пинга .



может быть и какой то фаервол на самом принтере ( но я такого не встречал )
посмотрите в логах на момент запроса 80го порта ..... а может принтер по HTTPS отвечает !?

ну тогда скриншот выше

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Устанавливая DFL в центр сети вы ограничиваете пропускную способность ее ядра в 150 Мбит/с (DFL-260E) вместо, скажем, 1 ГБит/с и более и потенциально можете перегружать DFL внутрисетевым трафиком. К примеру, получается, что у вас даже два влана из восьми имеющихся не смогут обмениваться на полнодуплексной скорости в 100 Мбит/c. Т.к полный дуплекс это 2 *100 = 200, что больше 150-ти, т.е. максимальной производительности DFL-260e.

Т.е. фактически вы используете DFL не как интернет-шлюз, а как внутрисетевое магистральное устройство. Хотя для этих целей предназначены коммутаторы 3-го уровня.

Кроме того, как видно из вашего поста, это приводит к ряду сопутствующих трудностей.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Владимир, извините за вмешательство, но уже достало Ваше странное убеждение, что all_services не включает все протоколы. Поле Protocol имеет в длину 1 байт, так что 0-255 -- это абсолютно всё .

А вот здесь Вы правы. Также некоторые сложные протоколы не будут работать с односторонним all_services.
Классичекий пример -- активный FTP, которому необходимо "встречное" соединение для данных. С двусторонним all_services должно работать всё (хотя встречаются проблемы при некоторых некорректностях в реализации IP протокола).

например SIP не работает с All-Service.
как показала практика - еще не всегда корректно работает Https.

поэтому я предерживаюсь мнения - хочеш что бы все работало - сделай сам , и сервис тоже

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

"Сделай сам" не получится. Подключение готового ALG трудно назвать "сделай сам". Если же ALG нет или он некорректно работает -- сам ничего не сделаешь. Заменаь all_services на что-то более специфическое полезна в смысле улучшения безопасности, но при разборках "почему не идет" -- пустая трата времени. С SIP ситуация, вероятно, аналогична FTP, a что https не работает через all_services -- НЕ ВЕРЮ.

В вашем споре я на стороне alex63 почти по всем вопросам.

И хочу добавить. Я со времен освоения DFL использую как основной сервис all-services с установленной галкой обработки ошибок. Это покрывает основные нужды, включая и pptp, и всегда нужную трассировку. Разве что использую не all-services, а точно такой же с уcтановленной галкой. Т.к. не люблю изменять предустановленные сервисы. Хотя в данном случае это, вероятно, излишне.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.