Как работает Firewall в VC 3.2.11.18212

[Artyom]

Добрый день!

Возникла ситуация при которой мне не понятно как отрабатывает встроееный Firewall в версии клиента 3.2.11.18212. Клиент через шлюз не может пинговать контр. домена! В правилах "Открытой сети" клиента просисано правило разрешаеющее трафик в обе стороны для йп адреса контр. домена.

Когда же смотрю в iplir view, видно что пакеты блокируются туннельным фильтром.

Как же всё-таки работает встроенный Firewall на клиенте???

[ingenico]

C каким номером события блокируются пакеты?

IP-адрес Контроллера Домена входит в диапазон туннелируемых ресурсов?

В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля?

P.S.   Вроде только такое событие блокировки туннельным фильтром для открытого трафика есть:

"37  -   Пакет блокирован фильтром для туннелируемых узлов   -   Это событие регистрируется только на координаторе. Пакет блокируется правилом фильтрации для туннелируемых узлов или для пакета не удалось найти подходящее правило"

[Artyom]

2 minutes ago, ingenico said:

C каким номером события блокируются пакеты?

IP-адрес Контроллера Домена входит в диапазон туннелируемых ресурсов?

В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля?

P.S.   Вроде только такое событие блокировки туннельным фильтром для открытого трафика есть:

"37  -   Пакет блокирован фильтром для туннелируемых узлов   -   Это событие регистрируется только на координаторе. Пакет блокируется правилом фильтрации для туннелируемых узлов или для пакета не удалось найти подходящее правило"

Номер события 37. Да, КД входит в диапазон адресов.

[Artyom]

Почему трафик идет через координатор?

[ingenico]

В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля?

[Artyom]

2 minutes ago, ingenico said:

В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля?

нет

[ingenico]

Именно для этого туннеля нет?

И дефолтного правила типа  rule= num 1 proto any from any to any pass  совсем нет?

Если это так, то вот и причина. Добавьте нужное правило. Что-то типа  rule= num 10 proto any from anyid to (IP-контроллера) pass

[Artyom]

У меня клиент в правилах туннеля не упоминается вовсе! У клиента свой стоит шлюз в настройках TCP/IP, который роутит трафик на КД.

[ingenico]

Если бы трафик шел с Клиента напрямую на КД, то он бы не проходил через Координатор и вы бы не видели эти события на нем.

Так как адрес КД принадлежит диапазону туннелируемых адресов, то Клиент к нему ходит через Координатор.

Чтобы Клиент ходил к КД напрямую надо на Клиенте в "Защищенной сети" в свойствах вашего Координатора во вкладке "Туннель" добавить IP-адрес КД в список адресов, которые не будут туннелироваться.

Либо через Координатор, но с нужным правилом в секции tunnel.

[Artyom]

2 hours ago, ingenico said:

Чтобы Клиент ходил к КД напрямую надо на Клиенте в "Защищенной сети" в свойствах вашего Координатора во вкладке "Туннель" добавить IP-адрес КД в список адресов, которые не будут туннелироваться.

ВРОДЕ БЫ КАК ПОМОГЛО. ПРОВЕРЮ ЗАВТРА. СПАСИБО!