Всем привет.
Имеется Zywall 310, локальная сеть 10.0.0.0/8. На WAN интерфейсе несколько ip (10.136.x.x) и доступ через прокси сервер 10.0.x.x. Проблема в том, что в данном виде прокси сервер не доступен (так так его нет в локалке). Каким образом можно прописать маршрутизатору искать этот адрес не в локальной сети? Проброс не помогает, смена адресов локальной сети на 192.168.x.x работает, но хотелось бы оставить как есть.
Почему у вас маска в локальной сети 8? Если бы вам это было нужно, вы бы тут такие вопросы не задавали. Сделайте маску локалки адекватной (24 я думаю вам хватит) и все WAN интерфейсы станут действительно WAN, а не частью локальной сети.
Сеть делал не я. Структура примерно такая: 10.0.x.x. - сетевое оборудование (коммутаторы, сервера), 10.2.x.x. - wi-fi точки, 10.3.x.x. - камеры, 10.4.x.x. - проходная, 10.10.x.x. - ПК. Поэтому взять и просто все поменять довольно затруднительно. Проблем с WAN нет (без прокси доступен только яндекс и он работает), есть проблема с доступом к прокси серверу 10.0.36.52, который находиться перед межсетевым экраном. Изменение порядка маршрутизации и прописание политики маршрутизации не помогли. Zywall 310 все равно ищет его в локалке и соответственно не находит.
Изменение порядка маршрутизации и прописание политики маршрутизации не помогли. Zywall 310 все равно ищет его в локалке и соответственно не находит.
Почему не находит? Он же в локалке :-)
Почему прокси ищет zywall? Это "прозрачный" прокси?
Поэтому взять и просто все поменять довольно затруднительно
Из-за того, что у вас маска в локалке 8 - у вас толком не работает маршрутизация, т.к. и WAN интерфейсы получаются то же в локалке. Не знаю, почему у вас работает яндекс на WAN интерфейсе с "локальным" адресом, это какие-то чудеса. Может быть в zywall пакеты принудительно форвардятся на WAN интерфейсы?
Пока вы с этим бардаком не разберетесь, маршрутизация у вас работать не будет. Какие еще проблемы можете из-за этого поиметь сказать трудно.
Маску можно выбирать не обязательно 24, можно тоньше подойти, так, что бы маской отсечь реальные локальные адреса от WAN адресов. В этом случае маршрутизация то же будет работать.
Например, если все локальные адреса умещаются в диапазон 10.0.0.0 - 10.15.255.255, то можно взять маску 12. Тогда WAN 10.136... уже будет вне локальной сети. Это только для примера, если у вас есть еще другие диапазоны адресов, то надо учитывать их все.
Ну и при переходе на новую маску может отвалится WAN, т.к. я сейчас не понимаю почему WAN у вас вообще работает при неработающей маршрутизации. Надо детально смотреть настройки маршрутизатора.
Хорошо бы схему сети представлять, а то у вас кучка "фиктивных" подсетей намекает на то что сеть довольно большая. Какое место в сети занимает Zywall?
Какой прокси не знаю. Его предоставляет Ростелеком в рамках ЕСПД и необходимо ставить их сертификат. Локалку уже сделал 10.0.0.0/12. Структура примерно такая: ростелеком->криптошлюз->zywall (шлюз, dhcp,)->локальная сеть 10.0.0.0/12. Адреса от Ростелекома 10.136.x.x/24 (два, с фильтрацией и без) и прокси сервер 10.0.36.x.
Если подключить к криптошлюзу ПК напрямую и вручную прописать настройки - все работает. Через zywall нет.
Если поменять адресное пространство в локалке на 192.168.0.0/8 все работает, но хотелось бы оставить как есть, т.к. довольно много устройств придется вручную перенастраивать.
Alexx136, С 12 маской какое поведение? По идее должно быть аналогично тому как вы бы поменяли адреса в локалке на 192.168.0.0/8.
Адреса для локалки выдаются по DHCP? Маску надо и там изменить то же, чтоб и все локальные клиенты работали с этой маской.
Трафик как заворачивается на прокси? Правилами фаервола или софт настроен на использование прокси?
В сети еще другие роутеры есть? В интернет как выходите? Через этот же zywall? Криптошлюз подключается, видимо, к какой-то выделенной линии, не связанной с интернетом?
1. Поведение не поменялось.
2. Адреса DHCP выдает 10.10.0.0/23
3. Пока в настройках сетевого подключения Windows, потом планирую на фаерволле (для начала хотя бы добиться пинга до самого прокси сервера).
4. Роутер одни - Zywall. Линия выделенная, до криптошлюза РТ. Там они уже рулят кого выпускать в интернет, а кого нет и фильтруют контент заодно. Как дальше организованно - хз.
res2001,
1. В настройках LAN интерфейса
2. Да, ПК и Wi-Fi клиенты это 10.10.0.1-10.10.1.255. Все остальное прописано статически.
3. В windows 10: настройки -> Сеть и интернет -> Прокси сервер (в принципе можно и в internet explorer)
3. В windows 10: настройки -> Сеть и интернет -> Прокси сервер (в принципе можно и в internet explorer)
Это и есть настройки Internet Explorer, вынесенные в системные настройки. Для других браузеров, требуется настраивать прокси в них, у каждого есть свои настройки. Хотя, вроде, и firefox и chrome умеют их импортировать из настроек IE.
Пинги на прокси с клиента видимо то же не проходят?
В DHCP то же поменяйте маску на 12. Или для проверки можете на одном из клиентов задать статический адрес с 12 маской (это будет маска 255.240.0.0). После этого можете проверить пинг на прокси и доступность прокси из IE.
Кстати, какая маска сети на самом прокси настроена? Там то же должна быть 12.
Сложный
