Добрый день!
Настраиваю гостевую зону, подключаю VLAN2 на 8 порт DFL 860
Смотрите прикрепленный файл с поэтапной настройкой.

Подскажите почему гостевая сеть 172.24.36.* видит локальную сеть предприятия 192.168.3.*
Я что то не настроил или как?

"видимость" сетей определяется IP правилами. Раз видят - значит есть такие правила. По умолчанию таких правил нет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM а примерно где капать? в каких правилах?

IP rules

И модель вашего устройства лучше писать точно

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

DFL-860E.

Прикрепил скрин! можете глянуть может ли данные правила влиять на виденье подсетей Vlan

описание для скрина:
lans - dmz+lan
lans_net - lannet, dmznet, Vpn_B, Vpn_A
Vpn_B - подсеть 192.168.20.0/24
Vpn_A - подсеть 192.168.50.0/24

Ну у вас тут всё всем разрешено. Причём не самым лучшим образом - через Fwd_Fast. Сделайте через Allow и только то, что надо.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А подсказать можете? просто эти подсети Vpn_B, Vpn_A нам провайдер дает для объединения 3х филиалов.
Т.е сеть Vpn_A, Vpn_B, dmz и lan (сеть предприятия) должны друг друга видит! Как можно это реализовать?

а как организованы эти Vpn_A, Vpn_B, подсети ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Автор, вы сами почитайте предоставленную вами информацию и попробуйте понять, какие сети что из себя представляют, и как должны видеть друг друга. Как только вы все это нормально опишите, так можно будет вам что-то сказать определенно. На самом деле, насколько пока видно, у вас все несложно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

на 3х точках стоит оборудование провайдера.
Vpn_A - 192.168.50.0/24 шлюз провайдера для VPN 192.168.50.254
Vpn_B - 192.168.20.0/24 шлюз провайдера для VPN 192.168.20.254
Главный офис - 192.168.3.0/24 шлюз провайдера для VPN 192.168.3.1

На каждой из точек прописаны правила для маршрутов (routing).

Как с этим согласуется ваше начальное заявление?
Еще, разумеется, надо указать какие сети должны видеть друг друга, а какие - нет.

На каких интерфейсах/портах находятся эти сети?


Правильно поставленная задача - это половина решения. У вас пока нет и этой половины.

Если у вас не получается описать задачу сразу в полном объеме, попробуйте это сделать устно какому-нибудь неглупому коллеге. И когда он вас наконец поймет, изложите здесь всю информацию, которая появилась в ходе обсуждения.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Vpn_A - 192.168.50.0/24 – филиал1 шлюз провайдера для VPN соединения 192.168.50.254
Vpn_B - 192.168.20.0/24 – филиал2 шлюз провайдера для VPN соединения 192.168.20.254
Главный офис – использует сеть 192.168.3.0/24 подключена в 3 порт на DFL, шлюз провайдера для VPN соединения 192.168.3.1
В главном офисе еще используется вторая подсеть подключенная в порт dmz - 192.168.4.0/24
Подсети 192.168.50.0/24, 192.168.20.0/24, 192.168.3.0/24, 192.168.4.0/24 они друг друга видят.
Сеть VLAN 172.24.36.* подключена к 8 порту и она не должна видеть вообще перечисленные подсети выше, а должна иметь только доступ в интернет!

lans_net - группа подсетей: Vpn_A, Vpn_B, dmznet, lannet
lans - группа интерфейсов lan, dmz

сделать правило для взаимной видимости всех нужных сетей
allow lans lans_net lans lans_net all-services

А для VLAN2 доступ в инет:
NAT VLAN2 VLAN2-net wan1 all-nets all-services

Разумеется, VLAN2-net в группу lans_net не входит.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

"allow lans lans_net lans lans_net all-services"
Данное правило есть в самом низу на пред скрине, все остальное отключил.
Но если я перевожу с FwdFast на Allow то подсеть Vpn_A, Vpn_B не видят подсеть главного офиса 192.168.3.0/24 а вторую подсеть видят.
?

потому что и в главном офисе надо делать правила Allow

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.