Чем филиалы соединены между собой. Нарисуйте схему. Может глянуть логи транспорта между филиалами?

@werter: Доброе. Вот исп. телефона в кач-ве ТД - точно проблем не было (3 мес. назад - точно не было). Тогда так и было. Сейчас не актуально.

@Electric^shock: @PbIXTOP: MTU все же стоит проверить, при этом не забывая что каждая инкапсуляция крадет свои байты. Причем MTU необходимо начинать проверять с сети соединяющей тунели, а уж потом внутри тунелей. Пробовал на домашней машинке прописать MTU вместо 1500 - 1492, так удалось скорость поднять до 2,2 мегабайта/сек, но тем не менее, уведомления в tcpdump'е так и сыплются. Рекомендую не прописывать, а проверять вначале как MTU так и скорость не шифрованного канала.

@PbIXTOP: @bill_open: @PbIXTOP: @bill_open: Такая же проблема. Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn). Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет). Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем. p.s. pf2.1.2 Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1 Это уже сделано, но так же как и в предыдущем случае это не нравится руководству)) Единственный вариант который я вижу, это ударить себя в голову и не заниматься ерундой и сменить профессию строить универсальные топологии. Так объясните руководству, что разницы никакой все равно нету, если требуется какой либо ресурс из сети LAN2. Если вы открываете порт через NAT, то точно также вы можете его открыть и на файрволе Хоть уже и объяснил в кратце. Но разница есть. объясняю: есть моб приложение, оно работает, только шум стоит, но есть одна необходимость подтягивать данные в него с сервака который в лан2 стоит. Собственно вот и появилась выше упомянутая необходимость. Пока что, самый правильный вариант, это изменить топологию сети.

В гигабайт плате 2 встроенных реалтека, модель сейчас не подскажу, а третий адаптер гигабитный интел. Я не думаю что обвал dhcp на интерфейсе и невозможность адресации связана с железом. 2.2.6 же летает. А материнка 2015 года выпуска

Изначально так сделано, но radvd продолжает спамить в лог. Помогает killall radvd.

@alexku4: @werter: Доброе. У пф в любом случае должно быть минимум 2 интерфейса. Как оно будет организовано - физические ли адаптеры или vlan - не важно. Вам может подойти вариант или с usb-сетевой (если пф ее увидит) или с пом. vlan-свитча. https://market.yandex.ru/catalog/55418/list?hid=91095&deliveryincluded=0&onstock=1&glfilter=4923774%3A12109582%2C12109581 Благодарю за ответ. Буду искать адаптер usb-lan Вы не знаете  случайно модель  usb или mini pci-e , которая бы 100%  бы поддерживала режим создания точки доступа/ P.S есть у меня alfa awus036h (оригинал) с ней тоже все печально…  видит интерфейс ни один режим не работает. https://www.freebsd.org/releases/10.3R/hardware.html -> 3.5. Wireless Network Interfaces

2werter 2oleg1969 Спасибо, добавил в закладки. :D

Я понимаю что когда нужно использовать сторонний софт и подключаться к искомому порту, это одно, но когда нужно передавать поток через браузер это уже другое, проброс тут не поможет, в особенности когда используется заведомо узкое назначение (80 либо 443 с ограничением по протоколу), что собственно и используется сейчас в haproxy, вопрос лишь в том как создать в haproxy правило которые бы перенаправляло с определенного имени на определенный локальный IP весь tcp трафик. К потоку через тот же vlc нет доступа, только через страницу. Если не использовать haproxy и открывать сайт из вне то видео грузится. Проблема именно в типе перенаправления http/https(SSL Offloading) и вся загвоздка в том что я не понимаю как при типе TCP перенаправлять по имени хоста, такая опция просто отсутствует

@PbIXTOP: @cvhideki: DNS Forwarder - используеться при перенаправленние на 80 порт и локальную машину внутри сети Пожалуйста не пишите глупостей, DNS Forwader не имеет такого функционала. Очевидно имеется в виду Split DNS - Host Override в DNS Forwarder.

Всем спасибо за участие и помощь. Отдельное спасибо werter. Решение проблемы оказалось в снижении размера передаваемого пакета до 1300 а также путём добавления отдельного правила для лан из центра. werter - best

Что в логах fw при этом ?

http://redhat-club.org/forum/viewtopic.php?id=24892

В общем завелось все в режиме PKI, вот только ничего не работало до тех пор пока не догадался офнуть/включить заново клиенты

прошу прощение, проблема оказалась на стороне  :P

Доступ по SSH включен. putty не коннектится кроутеру. Блек лист загружается. Через Mozillу не хотел грузится, гружу через Operу 12.18.

Лучше всего для начала ТС узнать о шифровании и ключах, сертификатах, чтоб не задавать пустые вопросы, поскольку в данной теме тяжело будет объянить всю теорию по этому вопросу.

Все намного проще. В Mozilla Firefox не загружалось, в Internet Explorer загрузилось.

@garald50: открыт по некоторым нестандартным портам Доброе. Если возможно - настройте Openvpn. В таком случае вовне будет открыт всего один udp-порт. Все остальные - закройте.

Выяснил методом научного тыка. Одну галочку необходимо было снять. [image: ??????.JPG] [image: ??????.JPG_thumb]