МультиЛАН и маршрутизация



  • Добрый день, господа.
    Взываю к коллективному разуму, т.к. немного запуталсо )))
    Есть задача прикрутить шлюз на PS к следующей архитектуре:
    1 WAN, смотрящий в дмз (на другой шлюза на PS)
    N LAN (VLANы, собственно), которые могут быть как изолированными, так и смотрящими на ресурсы друг друга. В задумке - все VLANы будут в одном домене с общим DC

    Сейчас один из VLANов ходит в инет через UserGate Web Filter (UG). Пакет в PS PFBlocker крут, но заморочен и я пока не нашел тех блэк-листов, которые бы фильтровали контент так, как нужно, это задача на будущее. Пока же хочется оставить фильтр как есть (в реале - это ПК). Так вот, траффик из VLANа завернут на этот ПК как на проксю, порты 80, 443 -> 8070, а дальше ПК с UG смотрит на внешний шлюз. И я не пойму как можно завернуть трафик из нужного мне VLAN на PS на этот ПК с UG.
    Что делал:
    на WAN-интерфейсе два гэйта (VLAN): 1 - дмз, 2 - gateway, смотрящий на ПК с UG.
    для нужного VLAN есть правило, которое заворачивает web-траффик через gateway (2).

    Правило отрабатывает, но не работает как надо. Что я не так делаю .... хз, может вообще не так надо?



  • Добрый день! Покажите скрины правил на VLAN и WAN'ов ?



  • VLAN, с которого http (s) необходимо пустить через UG WEB Filter^
    441765ea-e9aa-4034-8f13-9ac65c8b72dd-image.png

    WAN, в одной подсети с UG Web Filter:
    31a42d26-5b24-4ef3-a46d-8b7ef5f0eceb-image.png

    Правило "разрешить любой траффик" не работало как надо на этом WANе, пакеты от UG Web Filter не возвращаются обратно в LAN1.

    Я уже подумал было, что нужно WAN_UGFIL прописать как дефолтовый, в настройках завернуть его через проксю, а на другой WAN правилами направлять трафик из VLANов, которые будут ходить мимо прокси.

    Может вы что посоветуете?



  • @rubezhanin
    Wan_UGFIL - виртуальный или физический интерфейс ?



  • WAN'ы оба виртуальные, на одной карточке.



  • @rubezhanin
    Попробуйте сделать NAT OUTBOUND на WAN_UGFL для сети Lan1 net



  • @rubezhanin
    И еще - каша какая-то с правилами на WAN_UGFIL
    Например , как может быть источником пакета на входе интерфейса адрес из сети LAN1 net ?
    И последнее правило я тоже не понимаю

    Правила , которые задаются на интерфейсах (не плавающие) , они работают на вход



  • Эти правила я прибью. Разрешу весь трафик. Не обращайте внимания на это.

    a1d6df88-dd05-4a16-8419-c7c01b173a44-image.png

    Вот с аутбоунд немного не соображу ... Покурю доку.



  • @rubezhanin
    Ничего сложного
    Просто вы поменяете адрес исходящего пакета источника с LAN1 NET адреса на WAN_UGFIL адрес
    Запустите tcpdump или на pf или UserGate Web Filter (он же на базе Linux-а ? ) и посмотрите , что происходит с пакетом .



  • @Konstanti said in МультиЛАН и маршрутизация:

    @rubezhanin
    Попробуйте сделать NAT OUTBOUND на WAN_UGFL для сети Lan1 net

    А можно пример? Чет совсем не соображу ((



  • @rubezhanin
    Здесь Вам надо самому заполнить то , что нужно
    И интерфейс и источник и назначение ( возможно , порты)
    tcpdump запускали ?

    ed1ba320-599b-45d1-b970-0963012169a0-image.png



  • да. только не пойму почему все пакеты нулевой длины ... О_о

    192.168.1.253.52614 > 192.168.3.1.8090: Flags [S], cksum 0x52e2 (correct), seq 2760500276, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    192.168.1.253.52615 > 192.168.3.1.8090: Flags [S], cksum 0xa6f4 (correct), seq 867303673, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    192.168.1.253.52614 > 192.168.3.1.8090: Flags [S], cksum 0x66f1 (correct), seq 2760500276, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    192.168.1.253.52615 > 192.168.3.1.8090: Flags [S], cksum 0xbb03 (correct), seq 867303673, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    192.168.1.253.52616 > 192.168.3.1.8090: Flags [S], cksum 0xd02d (correct), seq 2768856679, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    192.168.1.253.52617 > 192.168.3.1.8090: Flags [S], cksum 0x1760 (correct), seq 3152283737, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0


  • @rubezhanin Идея с NAT через IP address WAN_UGFIL интерфейса позволит проверить, знает ли UserGate маршрут к сети LAN1.
    То есть в скриншоте, приложенный @Konstanti нужно установить интерфейс WAN_UGFIL, source address LAN1 сеть, destination - IP address UserGate прокси, можно порты назначения еще указать.



  • @rubezhanin said in МультиЛАН и маршрутизация:

    да. только не пойму почему все пакеты нулевой длины ... О_о

    Так вы внутрь пакетов загляните wireshark'ом.

    Хм, может имеет смысл в System>Advanced>Networking отключить "Hardware Checksum Offloading" и ребутнуться.



  • @rubezhanin Попробуйте отключить
    System/Advanced/Networking

    d7754371-2f81-4190-bbe2-7ff43f69a450-image.png



  • @rubezhanin Они нулевой длины
    потому что у Вас от хоста 192.168.3.1 нет ответа на пакет SYN
    т е нет установки соединения
    тройное рукопожатие не выполняется

    4dc92662-fd4c-4837-b6ce-0fe4d7cb0429-image.png



  • This post is deleted!


  • This post is deleted!


  • @Konstanti said in МультиЛАН и маршрутизация:

    @rubezhanin
    Попробуйте сделать NAT OUTBOUND на WAN_UGFL для сети Lan1 net

    Зачем там НАТ?
    Завернуть можно правилами Port Forwarding на ЛАН.
    Т.е все .что идет из ЛАН во вне к HTTPS завертывается на адрес и порт UG.
    После создания правила порт форвард проследить, чтобы правило, созданное им на ЛАН было повыше.
    У меня так все DNS и NTP от клиентов на LAN addr пф завернуты.
    Всё.



  • Все-таки я этот прокси не победил пока и подзабил. Пустил траффик в обход. Будет время - докручу.
    Пока расходимсо ...


Log in to reply