[РЕШЕНО] аппаратный firewall ZyXEL ZyWALL2 plus + port forwarding = failure

Question

[juffinhalli]

Добрый день, хабражители!
Есть интернет на RJ-45 c белым IP х.х.х.х
Есть роутер ZyXEL ZyWALL2 plus

Есть комп в сети с адресом 192.168.100.15
На компе работает RDP сервер на порту 3389
Задача тривиальна: сделать доступным терминальный доступ к компу из интернет. Вопросы безопасности такого решения пока отложим в сторону.

Согласно мануалу настройка выполнялась в 2 этапа:
1. Заводим правило в port forwarding

2. Заводим правило в firewall


Далее проверяем, но эффекта никакого


Смотрю в лог, но там всё красиво


Соединение до и после Zyxel работает успешно:
1. Доступ из интернет к Web интерфейсу Zyxel ZyWALL2 plus есть


2. Доступ Zyxel ZyWALL2 plus к компу c 192.168.100.15 есть
Проверил пингом из ZyWALL2, работая в его консоли через ssh

3. Порт 3389 на 192.168.100.15 открыт, проверил с другого компа в сети

Прошу помочь тех, кто сталкивался с подобной проблемой.
Заранее спасибо.

P.S. Проблема была решена после 3-x телодвижений

1. Обновлена прошивка до последней версии
2. Переписаны правила в firewall
3. На компе в сети с адресом 192.168.100.15 (на котором работает RDP сервер на порту 3389) в качестве шлюза шлюза и DNS был прописан ZyWALL.

P.P.S.
Правила firewall оказывается работают так:
1. Сперва открывается порт xxxx (к примеру) в цепочке W to W/zyxel
2. Настраивается port forwarding c xxxx на 3389 компа 192.168.100.15
3. В завершении открывается порт 3389 в цепочке W to L

Answer 1

[Ilya_Drey]

Добрый день!

Я не работал с данным оборудованием но считаю, что понимаю как оно работает :) В общем подозреваю, что Вы немного не правильно описали правило, дело в том, что Вы написали правило которое разрешает прохождение пакетов в цепочке WAN-to-LAN, трафик попадающий в эту цепочку не содержит в себе dst ip 192.168… (ваш комп), так как это правило наверняка применяется к трафику еще до NAT трансляции. Добавьте дополнительно правило WAN-to-WAN c src ip any и dst-ip x.x.x.x (ваш белый IP адрес).

Comments

[juffinhalli]

добавил правило

эффекта не дало, лог даже не сообщает от прохождении этого нового правила

Изменил правило, удалив белый IP

Эффекта нет, лог как в предыдущем.

[juffinhalli]

Выше всё правильно, не работало из-за того что на 192.168.100.15 был прописан шлюзом не ZyWALL

Answer 2

[bdmalex]

У Зукселя есть служба технической поддержки, оставляете там заявку — вам отвечают.
Также если вопрос срочный — можете набрать телефонную трубку и позвонить.

Comments

[juffinhalli]

Запрос написал, жду ответа

[juffinhalli]

В техподдержке посоватовали поставить анализатор входящих запросов на 192,168,100,15.

Answer 3

[mishutkiss]

в цепочке WAN to LAN нужно добавить правило!
Source Address: any
Destination Address: 192.168.100.15
Service Type: RDP
Action: permit

Comments

[juffinhalli]

Правило было добавлено (2-й скриншот)