Zyxel 661h: правило WAN to LAN
 

Доброго времени суток!
Есть необходимость подключить удалённого клиента со статическим Ip через интернет к базе в локальной сети.
На границе локальной сети стоит ZYXEL 661H-D1 c включённым файерволом и также со статическим IP.
В настройках Zyxel в разделе NAT пробросил необходимые порты для подключения к базе. Создал правило WAN to LAN.
В правиле для начала указал SOURCE IP-статический ip клиента в интернете, DESTINATION-ip адрес сервера в локальной сети.
Нижним правилом запретил всё и вся.
При попытке подключиться клиент говорит, что порты закрыты.
Тогда в правиле SOURCE IP меняю ip клиента на ANY-порты открываются.
Происходит это видимо потому, что пакеты проходят через ряд маршрутизаторов и конечная точка
перед файерволом не соответствует ip адресу клиента в правиле.
А когда меняется на ANY - заходи кто хочет, но меня такой вариант не устраивает.
Как можно разрулить ситуацию через файервол, чтобы снаружи подключался только конкретный ip.
И возможно ли это в принципе сделать через файервол.
Или придётся думать про VPN.

source ip поставьте свой публичный.

Если можно поясните, не совсем понял какой публичный.

Чисто в общих чертах. Ваш ZYXEL 661H-D1 может организовать VPN своими силами. И снаружи в сеть смогут подключаться только пользователи, которым известны логин/пароль на VPN-соединение.

Ну и посмотрите, есть ли в вашем модеме белые списки адресов.

Не забывайте также, что невысокой исходящей скорости ADSL-соединения может не хватить вашему клиенту для полноценной работы с базой.

mwz
Да железка эта поддерживает два аппаратных vpn-туннеля по протоколу IPSec.
Один я настроил для работы с другим клиентом, у которого такая же железка на другой стороне - туннель без проблем подняли.
У текущего клиента нет технической воможности на организацию vpn-туннеля.
Вот и пытаются подключиться таким образом.
Cкорости то хватит для их нужд.
Но хорошо, а если попробовать так - на моей стороне железка с поднятым туннелем по протоколу IPSec, а с другой стороны клиент попробует поднять туннель программными средствами- пройдёт ли этот вариант.

Для подключения к созданному таким образом VPN это реализуется штатными средствами даже в Windows XP (Создать сетевое подключение -> Подключиться к рабочему месту).

Можете подключаться даже по уже поднятому VPN -- если не смущает использование одной пары логин/пароль для пользователей разного класса (но если что -- эта пара в ваших руках, и может быть изменена с сообщением новых реквизитов только пользователю, который должен продолжать работать).

В данном случае с VPNами немного инная ситуация. Железки по обеим концам со статическими IP создают шифрованный канал через интернет по протоколу IPSec без логина и пароля со своими алгоритмами шифрования. В том то и суть, что никто со стороны не может подключиться.
Наглядно выложил пример подключения с удалённым клиентом.

triano
А, ну да... И второй вариант в этом модеме, PPTP, вроде бы так же работает.

mwz
Большое спасибо! Попробую рассмотреть этот вариант.
О результатах сообщу.