МультиЛАН и маршрутизация

rubezhanin

Добрый день, господа.
Взываю к коллективному разуму, т.к. немного запуталсо )))
Есть задача прикрутить шлюз на PS к следующей архитектуре:
1 WAN, смотрящий в дмз (на другой шлюза на PS)
N LAN (VLANы, собственно), которые могут быть как изолированными, так и смотрящими на ресурсы друг друга. В задумке - все VLANы будут в одном домене с общим DC

Сейчас один из VLANов ходит в инет через UserGate Web Filter (UG). Пакет в PS PFBlocker крут, но заморочен и я пока не нашел тех блэк-листов, которые бы фильтровали контент так, как нужно, это задача на будущее. Пока же хочется оставить фильтр как есть (в реале - это ПК). Так вот, траффик из VLANа завернут на этот ПК как на проксю, порты 80, 443 -> 8070, а дальше ПК с UG смотрит на внешний шлюз. И я не пойму как можно завернуть трафик из нужного мне VLAN на PS на этот ПК с UG.
Что делал:
на WAN-интерфейсе два гэйта (VLAN): 1 - дмз, 2 - gateway, смотрящий на ПК с UG.
для нужного VLAN есть правило, которое заворачивает web-траффик через gateway (2).

Правило отрабатывает, но не работает как надо. Что я не так делаю .... хз, может вообще не так надо?

vladimirlind

Добрый день! Покажите скрины правил на VLAN и WAN'ов ?

rubezhanin

VLAN, с которого http (s) необходимо пустить через UG WEB Filter^

WAN, в одной подсети с UG Web Filter:

Правило "разрешить любой траффик" не работало как надо на этом WANе, пакеты от UG Web Filter не возвращаются обратно в LAN1.

Я уже подумал было, что нужно WAN_UGFIL прописать как дефолтовый, в настройках завернуть его через проксю, а на другой WAN правилами направлять трафик из VLANов, которые будут ходить мимо прокси.

Может вы что посоветуете?

Konstanti

@rubezhanin
Wan_UGFIL - виртуальный или физический интерфейс ?

rubezhanin

WAN'ы оба виртуальные, на одной карточке.

Konstanti

@rubezhanin
Попробуйте сделать NAT OUTBOUND на WAN_UGFL для сети Lan1 net

Konstanti

@rubezhanin
И еще - каша какая-то с правилами на WAN_UGFIL
Например , как может быть источником пакета на входе интерфейса адрес из сети LAN1 net ?
И последнее правило я тоже не понимаю

Правила , которые задаются на интерфейсах (не плавающие) , они работают на вход

rubezhanin

Эти правила я прибью. Разрешу весь трафик. Не обращайте внимания на это.

Вот с аутбоунд немного не соображу ... Покурю доку.

Konstanti

@rubezhanin
Ничего сложного
Просто вы поменяете адрес исходящего пакета источника с LAN1 NET адреса на WAN_UGFIL адрес
Запустите tcpdump или на pf или UserGate Web Filter (он же на базе Linux-а ? ) и посмотрите , что происходит с пакетом .

rubezhanin

@Konstanti said in МультиЛАН и маршрутизация:

@rubezhanin
Попробуйте сделать NAT OUTBOUND на WAN_UGFL для сети Lan1 net

А можно пример? Чет совсем не соображу ((

Konstanti

@rubezhanin
Здесь Вам надо самому заполнить то , что нужно
И интерфейс и источник и назначение ( возможно , порты)
tcpdump запускали ?

rubezhanin

да. только не пойму почему все пакеты нулевой длины ... О_о

192.168.1.253.52614 > 192.168.3.1.8090: Flags [S], cksum 0x52e2 (correct), seq 2760500276, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
192.168.1.253.52615 > 192.168.3.1.8090: Flags [S], cksum 0xa6f4 (correct), seq 867303673, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
192.168.1.253.52614 > 192.168.3.1.8090: Flags [S], cksum 0x66f1 (correct), seq 2760500276, win 8192, options [mss 1460,nop,nop,sackOK], length 0
192.168.1.253.52615 > 192.168.3.1.8090: Flags [S], cksum 0xbb03 (correct), seq 867303673, win 8192, options [mss 1460,nop,nop,sackOK], length 0
192.168.1.253.52616 > 192.168.3.1.8090: Flags [S], cksum 0xd02d (correct), seq 2768856679, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
192.168.1.253.52617 > 192.168.3.1.8090: Flags [S], cksum 0x1760 (correct), seq 3152283737, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

vladimirlind

@rubezhanin Идея с NAT через IP address WAN_UGFIL интерфейса позволит проверить, знает ли UserGate маршрут к сети LAN1.
То есть в скриншоте, приложенный @Konstanti нужно установить интерфейс WAN_UGFIL, source address LAN1 сеть, destination - IP address UserGate прокси, можно порты назначения еще указать.

vladimirlind

@rubezhanin said in МультиЛАН и маршрутизация:

да. только не пойму почему все пакеты нулевой длины ... О_о

Так вы внутрь пакетов загляните wireshark'ом.

Хм, может имеет смысл в System>Advanced>Networking отключить "Hardware Checksum Offloading" и ребутнуться.

Konstanti

@rubezhanin Попробуйте отключить
System/Advanced/Networking

Konstanti

@rubezhanin Они нулевой длины
потому что у Вас от хоста 192.168.3.1 нет ответа на пакет SYN
т е нет установки соединения
тройное рукопожатие не выполняется

rubezhanin

This post is deleted!

rubezhanin

This post is deleted!

werter

@Konstanti said in МультиЛАН и маршрутизация:

@rubezhanin
Попробуйте сделать NAT OUTBOUND на WAN_UGFL для сети Lan1 net

Зачем там НАТ?
Завернуть можно правилами Port Forwarding на ЛАН.
Т.е все .что идет из ЛАН во вне к HTTPS завертывается на адрес и порт UG.
После создания правила порт форвард проследить, чтобы правило, созданное им на ЛАН было повыше.
У меня так все DNS и NTP от клиентов на LAN addr пф завернуты.
Всё.

rubezhanin

Все-таки я этот прокси не победил пока и подзабил. Пустил траффик в обход. Будет время - докручу.
Пока расходимсо ...