Форум компании «Айдеко»

[Киселев Георгий]

Добрый день!

Необходимо реализовать следующую схему маршрутизации:

• форвардинг двух (возможно, трех) подсетей через Ideco БЕЗ SNAT на Firewall, смотрящий в Internet, там дальше сам Firewall разберётся
• маскарадинг и/или проксирование остальных подсетей на Ideco

Схема:

Примерная схема желаемой маршрутизации

Network_scheme.png (95.44 КБ) Просмотров: 574

Ideco UTM:
Интерфейсы:

Интерфейсы

Screenshot_20191119_095712.png (22.54 КБ) Просмотров: 574

• Внешний интерфейс - 192.168.99.4/24, шлюз по умолчанию 192.168.99.3
• Локальный интерфейс - 192.168.100.30/24
• Включено прямое подключение к прокси на адрес 192.168.100.30:3128

Правила файрволла:

Правила файрволла

Screenshot_20191119_100706.png (70.14 КБ) Просмотров: 574

Firewall:

• Локальный интерфейс - 192.168.99.3/24
• Внешний интерфейс - статический IP от провайдера

Для всех устройств в сети (кроме файрволла и Ideco) роутер является шлюзом по умолчанию, на схеме - 192.168.100.1/192.168.99.100/192.168.10.2/192.168.2.1 и т.д.
Как прокси Ideco работает успешно, но устройства из подсетей 192.168.100.0/24 и 192.168.10.0/24 в Интернет не выходят. Если отключить правила из группы Server networks, то через MASQ всё проходит успешно.

"Бэн, это Данила. Ай нид хэлп" (С)

[ideco.dmitriy]

Добрый день!
Если вы коммерческий клиент, лучше создавать тикет на портале поддержки: https://help.ideco.ru/

По вопросам:
"форвардинг двух (возможно, трех) подсетей через Ideco БЕЗ SNAT на Firewall, смотрящий в Internet, там дальше сам Firewall разберётся"
Лучше это сделать обновившись до версии 7.9 (можно загрузившись с диска, либо выслав в тех. поддержку номер вашей лицензии, сегодня выйдет версия 7.9.2, рекомендую обновится сразу же до нее).
Там нужно будет в файерволе отключить автоматический SNAT и создать правила неSNAT и SNAT для нужных подсетей.
В версии 7.8 из веб-интерфейса такие правила сделать было нельзя (т.к. нельзя отключить автоматический NAT).

Без авторизации хосты в Интернет все равно ходить не будут - нужно их авторизовать хотя бы по IP (для этого можно автоматически создать нужное количество "пользователей".

[Киселев Георгий]

Отвечаю сам себе (после подсказки поддержки Ideco).
Вышеозначенная схема реализуема только в обход узлами подсетей 192.168.10.0/24 и 192.168.100.0/24 сервера Ideco UTM. В противном случае все хосты из этих подсетей будут регистрироваться как клиенты Ideco UTM и трафик всё равно будет обрабатываться.
У меня всё это реализовано через Cisco VRF - каждой подсети назначен свой VRF и в нем установлен шлюз по умолчанию, отличный от Ideco UTM. Всё заработало.