flower
26-01-2012, 12:12
Обрисовываю ситуацию..
Итак, имеется 4 сети: Интернет, локальная моя LAN1, VPN-сеть1 и VPN-сеть2.
Локальная сеть (LAN1) стандартной конфигурации: с десяток машин, принтеры, сервер WinServer 2008 R2, ничего необычного. Аналогично и в двух других сетях VPN.
Доступ в интернет и к VPN-сетям для сервера локальной сети LAN1 осуществляется через Zyxel USG 50 (шлюз). На нем поднимается PPPoE-соединение к ADSL-модему, настроенному бриджем. После установки соединения с интернетом на нем же (Zyxel USG 50) поднимаются и 2 VPN-канала по IPSec.
Аппаратный файрволл на шлюзе (Zyxel USG 50) настроен белым списком (запрещено всё, кроме ...). Конфигурация файрволла следующая (опишу привычным языком) :
http://imglink.ru/pictures/26-01-12/26338ba091b509309e0986b032167dea.jpg
По умолчанию запрещены все подключения со всех адресов на все направления.
Доступ с WAN-интерфейса на все направления и на сам шлюз закрыт.
Доступ из локальной сети LAN1 к интерфейсу WAN закрыт.
Доступ из локальной сети к интерфейсу WAN разрешен только для сервера (win server 2008, с которого раздается инет для юзеров по юзергейту).
Доступ к самому шлюзу (Zyxel USG 50) разрешен из локальной сети LAN1 только для IP-адреса сервера (win server 2008).
Доступ с группы VPN (VPN1 + VPN2 по IPSec) к локальной сети LAN1 разрешен для всех подключений, портов и протоколов без ограничений.
Доступ из локальной сети LAN1 ко группе VPN (VPN1 + VPN2 по IPSec) также разрешен для всех подключений, портов и протоколов без ограничений.
Все работает нормально поначалу.. Спустя некоторое время (от 30 минут до часа-двух) отваливается наглухо второй VPN-канал, VPN2. В веб-интерфейсе шлюза тем не менее соединение с обеими VPN-сетями показано как "активное". Связь с интернетом также не разрывается. Все продолжает работать, как и задумывалось.. За исключением второго VPN-канала.
Исправляется данная проблема лишь двумя способами:
1. Отключение аппаратного файрволла (способ не годится, сразу говорю).
2. Передергивание аппаратного файрволла (сперва выключаем, заходим на какой-нибудь ресурс из сети VPN2, затем снова включаем файрволл).
Второго способа, как я уже описал, хватает на короткое время. В чем может быть проблема - ума не приложу.. Уже неделю с этим вожусь и не могу ничего сделать. Если WAN-интерфейс не контролировать файрволлом, данной проблемы не наблюдается. Тем не менее, WAN оставлять без файрволла нельзя ни в коем случае.
Итак, имеется 4 сети: Интернет, локальная моя LAN1, VPN-сеть1 и VPN-сеть2.
Локальная сеть (LAN1) стандартной конфигурации: с десяток машин, принтеры, сервер WinServer 2008 R2, ничего необычного. Аналогично и в двух других сетях VPN.
Доступ в интернет и к VPN-сетям для сервера локальной сети LAN1 осуществляется через Zyxel USG 50 (шлюз). На нем поднимается PPPoE-соединение к ADSL-модему, настроенному бриджем. После установки соединения с интернетом на нем же (Zyxel USG 50) поднимаются и 2 VPN-канала по IPSec.
Аппаратный файрволл на шлюзе (Zyxel USG 50) настроен белым списком (запрещено всё, кроме ...). Конфигурация файрволла следующая (опишу привычным языком) :
http://imglink.ru/pictures/26-01-12/26338ba091b509309e0986b032167dea.jpg
По умолчанию запрещены все подключения со всех адресов на все направления.
Доступ с WAN-интерфейса на все направления и на сам шлюз закрыт.
Доступ из локальной сети LAN1 к интерфейсу WAN закрыт.
Доступ из локальной сети к интерфейсу WAN разрешен только для сервера (win server 2008, с которого раздается инет для юзеров по юзергейту).
Доступ к самому шлюзу (Zyxel USG 50) разрешен из локальной сети LAN1 только для IP-адреса сервера (win server 2008).
Доступ с группы VPN (VPN1 + VPN2 по IPSec) к локальной сети LAN1 разрешен для всех подключений, портов и протоколов без ограничений.
Доступ из локальной сети LAN1 ко группе VPN (VPN1 + VPN2 по IPSec) также разрешен для всех подключений, портов и протоколов без ограничений.
Все работает нормально поначалу.. Спустя некоторое время (от 30 минут до часа-двух) отваливается наглухо второй VPN-канал, VPN2. В веб-интерфейсе шлюза тем не менее соединение с обеими VPN-сетями показано как "активное". Связь с интернетом также не разрывается. Все продолжает работать, как и задумывалось.. За исключением второго VPN-канала.
Исправляется данная проблема лишь двумя способами:
1. Отключение аппаратного файрволла (способ не годится, сразу говорю).
2. Передергивание аппаратного файрволла (сперва выключаем, заходим на какой-нибудь ресурс из сети VPN2, затем снова включаем файрволл).
Второго способа, как я уже описал, хватает на короткое время. В чем может быть проблема - ума не приложу.. Уже неделю с этим вожусь и не могу ничего сделать. Если WAN-интерфейс не контролировать файрволлом, данной проблемы не наблюдается. Тем не менее, WAN оставлять без файрволла нельзя ни в коем случае.