Добрый день,
Есть два провайдера, у обоих подключение через ppoe, есть dfl-860e c заводскими настройками, настроил два ppoe на dfl
pppoe1 и wan1 имеют метрику 90 и объединены в одну interface group
pppoe2 и wan2 имеют метрику 100 и объединены в другу interface group
dfl интернет видит, покрайней мере подкнимает ppoe получае ip и я могу пропинговать любой ip c самого dfl, но локальная сеть инет не видит

1. Какое надо добавить правило что бы локальная сеть увидила интернет через wan1
2. В локалке есть 2 сервера, возможно ли что бы оба смотрели в нет через wan2 но при этом нормально общались через wan1 если с него пришел запрос.

Надеюсь понятно расписал. Спасибо!

1.


замениет на соответсвующие интерфейсы которые у вас .


+ DNS Relay

2. ищите по форуму , PBR - тема обсуждалась не однократно

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Vladimir22, Спасибо, вечером буду пробовать вечером, но вроде бы эти 4 правила стоят по-умолчания, может что в интерфейсах различия, буду смотреть

не за что - конечно в интерфейсах . и отсутсвия DNS Relay

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

При подключении через PPPoE Вам нужно забыть про wan1 и wan2! Ни в какие группы их включать не нужно, никуда, кроме свойств pppoe1 и pppoe2, они входить не должны. Везде -- в маршрутах, правилах, нужно использовать только pppoe1 & pppoe2 (можно сделать группу WANS из них для удобства). Исключение: некоторые провайдеры, дающие доступ к "локальному контенту" без авторизации, но ныне это уже практически изчезло.

По поводу сервера, отвечающего с обоих каналов:
viewtopic.php?f=3&t=161874

alex63 т.е создаю два ppoe соединения, и их спользую как wan1 и wan2 но реальные wan порты получается игнорирую ?

Да, на реальных wan не нужны даже никакие параметры, IP, шлюзы, DNS и т. д. Фактически PPPoE их не испоьзует, а весь трафик идет уже поверх PPPoE.
Wizard переименовывает wan1 в wan1_phys, а PPPoE называет wan1, можете сами так сделать, если нравится.

ну wizard я не использовал, pppoe я назвал как мне удобно, так что просто буду знать что использовать wan порты в моем случае нет необходимости.

Подскажите такую штуку, вот у меня два провайдера каждый висит на своем wan, вся локальная сеть использует для выхода в сеть интернет wan1 (pppoe которое висит на wan1 если быть точно), Возникло пару вопросов:
1. хочу через wan2 сделать ipsec для двух др филиалов, достаточно ли мне в настройках ipsec указывать внешний ip который на wan2 или как-то надо еще заворачивать ipsec трафик (правила для хождения трафика между двумя сетями не учитываю)?
2. надо ли заворачивать например sip трафик что бы он шел через wan2 если сервер назначения находится в удаленной сети доступной по средствам ipsec?
3. Не могу понять как настроить failover между двумя pppoe, при настройке правил для мониторинга link-a вылазит сообщени что на pppoe интерфейсе нельзя мониторить или я чего то не правильно делаю
Спасибо.

1. просто указать IP . далее по инструкции .
2. три раза прочел , не к месту слово "надо ли" .. для чего вам такая хитрость ?!
3. а как вы собираетесь мониторить линк на том чего нету ? делайте мониторинг по IGMP, и будет счастье.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

2. В каждом филиале стоит своей сервер ip-телефонии (asterisk), проблема заключается в том что я не могу использовать ip оператора на прямую с главного офиса (местный провайдер блокирует всех sip операторов), вот и хочу использовать для выхода к sip оператору один из филиалов. Вот и спрашиваю надобно ли заворачивать трафик, но думается мне что я перемудрил ведь посредствам ipsec мне будет доступен сервер телефонии филиала а значит и заворачивать трафик нет необходимсти так как все пакеты идущие в удаленную сеть и так будут идти через ipsec. Спасибо, буду пробовать все это замутить

а что тут мутить - схема стандартная и вполне реализуемая .
поднимаете туннели с параметрами All-nets с обоих сторон , галочку - создать маршрут автоматически снимаете .

затем руками пишете маршрутизацию для ваших сетей , дописываете правилами что и куда ходит
на астериске , если он один -
[global]
localnet - все ваши сети локальные
EXTernIP= ваш белый

если необходимо астериск выпустить через другой филиал - пишите правила и альтернативную таблицу маршрутизации. все работает .

если все сделаете правильно то заработает с первого раза
у меня так работает - дома

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да как бы до астериска еще долеко, мне бы ipsec поднять
Вот так настроил:

А вот настройки другой стороны




Но что то не поднимается тунель Где я чего не доглядел или позабыл ?
в логах DFL-860e

statusmsg="No proposal chosen" local_peer="127.0.0.1 ID No Id" remote_peer="staticAlmaty ID No Id" initiator_spi="ESP=0xd556ce52, AH=0xe86d375f, IPComp=0x2fba658e"

staticAlmaty - это ip статический удаленного офиса
Спасибо.

не видно
1. самих настроек туннеля
2. состояния туннеля
3. есть ли что в логах ?

доступны ли с самих DFL удаленные точки !?

какие прошивки на устройствах .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку