Роутер Dlink DIR-640L
Поднят VPN IPsec с центральным офисом
Необходимо сделать так, чтобы весь трафик шел через vpn канал.
Создаю правило firewall (первое и единственное по списку)
Name deny_all
Source Интерфейс LAN - диапазон ip - пусто, диапазон портов - пусто Protocol - all
Dest Интерфейс WAN - диапазон ip - пусто, диапазон портов - пусто Protocol - all
Action - DENY



Но трафик все равно проходит напрямую, при трассировке видно, что идет через провайдера на объекте, а не через шлюз офиса, да и вообще пинг идет, хотя в Ц.О. доступ во "вне" закрыт

пробовал также различные маски задавать:

x.*.*.*
х.x.*.*
x.x.x.*



ничего не помогает.
получается закрыть доступ фаерволом только по такой схеме (предположим что ip DIR-640 - 192.168.0.1 )

Name deny_all
Source Интерфейс LAN - диапазон ip - 192.168.0.2-250, диапазон портов - пусто Protocol - all
Dest Интерфейс WAN - диапазон ip - пусто, диапазон портов - пусто
Action - DENY

но в данном случае перестает работать VPN канал, и удаленно на DIR-640L получается зайти только по внешнему IP. т.е. блочится все.
Прошивки менял -
DIR-640LAx_FW101b09WW
DIR-640LAx_FW101b12RU
DIR-640LAx_FW102b02WW
проблема таже.

Имеются в наличии шлюзы DI804hv. DI808, DSR-250(N) в них данная проблема не наблюдается, все делается стандартно, все работает.

Еще может подскажите модели, из требований - IPsec. (des/aes128/3des)
usb порт для 3g/4g модема с возможностью использовать в качестве основного канала.
цена на российском рынке - до 7-8 тыс. руб.

Не длинк точно посмотрите на латвийские роутеры .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

2 штуки за эту цену.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

про mikrotik думали, но пока только на уровне размышлений, не сталкивались с такими, не понятно пока на сколько тривиальна будет настройка. но за совет спасибо.

А по теме, по firewall, кто-то что-то может поведать???

В инете полно примеров и мануалов.

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Спасибо! про это в курсе!

По теме что-нибудь кто-то знает?

Нужно сделать два правила:
Первое разрешает ходить с диапазона адресов локальной сети на диапазон адресов удаленного офиса.
Второе запрещает ходить с диапазона адресов локальной сети на все остальное (т.е. Dest Интерфейс WAN - диапазон ip - пусто, диапазон портов - пусто).
Правила должны стоять именно в таком порядке.

да не будет работать
1. при создании туннеля на 640 точно пропишется удаленная сеть как маршрут
2.не известно что на удаленной стороне . и что разрешено в туннеле ( все это не ответ )
поэтому дирка - это домашняя мыльница - и предназначена только для туннеля и устанавливать соеденение Р2Р , не более того .

если вы найдете где в дирке прописать что удаленная сеть у нее ALL-NETS ( те ВСЕ !!!!) и метрика этого маршрута будет меньше чем метрика основного . через который есть выход в инет - то загоните траффик в туннель , а дальше будете разбирается как на удаленной стороне его разрулить .

ноя бы микроты взял

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Это были не теоретические размышления.
В том-то и дело что работает.

тоесть , Вы загнали весь трафик в туннель ? а на удаленной стороне его разрулили ?
поделитесь для потомков , выполнением действия .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку