Sergey Ryzhkin: Может можно средствами керио как то добавить маршрут.
Еще попробуй с самого керио пингануть/трасернуть машину из другой сети, только отключи на ней брэндмауэр встроенный.
Sergey Ryzhkin: Все верно, шлюз должен быть прописан на внешнем интерфейсе. А чтобы попасть во внутренние сети, нужно прописать статические маршруты. Либо средствами керио (если такое возможно) либо в самой винде - что-то типо того route -p add 192.168.0.0 mask 255.255.0.0 192.168.1.250
Sergey Ryzhkin: Я в керио не силен, но скорее всего он не пингутся из-за дефолтных правил - обычно такое поведение на всех фаерволах.
А так, смотрите логи, под какое правило попадает трафик из других сетей.
Sergey Ryzhkin: Для всех ПК шлюзом должен быть соответствующий Vlan на L3. На dhcp тоже нужно указать шлюз, иначе он не знает куда посылать ответ. То есть на всех устройствах сети должен быть указан шлюз - L3 свитч, кроме керио.
Sergey Ryzhkin: На L3 коммутаторе не нужно настраивать маршрутизацию между Vlan'ами - она работает по-умолчанию. Сделайте show ip route и посмотрите. Из маршрутизации у вас должен быть только один статический маршрут на L3 - ip route 0.0.0.0 0.0.0.0 192.168.1.4 и на керио - 192.168.0.0 255.255.0.0 192.168.1.250
С клиентами пробуйте сначала на статике, а потом уже разбирайтесь с DHCP. Сделайте на клиенте статический ip 192.168.2.2/24 и шлюз 192.168.2.250 и попробуйте сделать пинг например до керио.
Серёга: Может мы о разных вещах говорим? Потому, что по функционалу, лично для себя, различий между evernote не нашел. Каких то проблем так же не испытываю.
ky0: Ну уж извините, что не все разбираются в нормальных веб-серверах. Пинать тут на MS негоже.
Разводить флейм на тему opensource тоже не вижу смысла. Для каждого случая, свои решения.
Лучше бы кинули ссылку на один из многочисленных мануалов по моему вопросу.
Внешних IP несколько, но не хватает на все внутренние сервисы, т.е. надо что бы несколько поддоменов висело на одном IP. Отсюда появляется проблема с сертификатами, надо их как-то объединять.
Я пока с ним не сталкивался, как раз смотрел в его сторону, но пока не нашел ответа на некоторые моменты связанные с сертификатами. В частности, насколько сложно на нем реализовать мои хотелки.
Например у меня есть несколько внутренних серверов: OWA, RDWebAccess, веб-морда от 1С и тд. Соответственно наружу они опубликованы по именам mail.domain.ru, terminal.domain.ru и тд. Часть серверов сами/автоматом получают с lets encrypt сертификаты и ставят их себе. Можно ли перенести эту роль на nginx, чтобы они подставлял нужный сертификат? Нужно ли при этом на самих серверах получать сертификаты?
У вас не сходятся информация на картинке с конфигом.
permit ip host 192.168.1.16 0.0.0.15 192.168.1.0 0.0.0.15 - тут неправильная запись, т.к. стоит указание host, а на самом деле записана сеть.
Нет смысла писать такие ACL permit ip 192.168.1.0 0.0.0.15 192.168.1.0 0.0.0.15, т.к. они не обрабатываются на уровне SVI
И вы не написали, откуда и куда проходит трафик.
Вадим Чопоров: Тогда думаю стоит погуглить информацию по PBR с двумя провайдерами - годных статей полно где все разжевано и уже на их базе подпилить конфиг под свои реалии. То, что это работает могу сказать точно, т.к. у самого выход в интернет идет по двум провайдерам для разных сетей/протоколов и так же дефолтные маршруты стоят с разной метрикой.
