Здравствуйте, уважаемые форумчане!
Есть DFL-860E и много внешних IP из разных пулов (точнее из 2-х, соответственно, с 2-мя разными шлюзами)
Возникла следующая задача...
Нужно чтобы созданные внутренние подсети LAN-x ходили в инет через свои внешние IP.
В одном пуле внешних IP у меня всё работает. Со вторым и далее - лажа...
Все внешние IP опубликованы, маршруты для внутренних подсетей подняты.
Пробовал и на один WAN всё повесить, и на оба... Второй маршрут не живет. При том, что дропов нет.
Пробовал уже по инструкции одновременную работу 2-х WAN c с альтернативной таблицей маршрутизации и правилами.
Failover мне не нужен. Просто раздельный выход в инет для разных внутренних подсетей. Провайдерских IP и шлюзов для них много, причем снаружи они все приходят одним физическим каналом.
Внутренняя сеть физически не сегментирована.
Пока у меня одновременно работает только маршрут, у которого соответственно метрика меньше... Альтернативные не работают.
Посоветуйте, плиз, как правильно организовать такую маршрутизацию. А то я уже запутался.
из Lan-1 в all-nets через WAN_IP-1 и соответственно GateWay-1
из Lan-2 в all-nets через WAN_IP-2 и соответственно GateWay-2
из Lan-X в all-nets через WAN_IP-X и соответственно GateWay-X
и т.д.

а что PBR
и альтернативные таблицы ?
не работают ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В рамках одного WAN'а (т.е. с одним внешним шлюзом) и с 10-ю разными внешними IP из одного внешнего пула всё замечательно работает на уровне NAT'а (подменой адреса отправителя). Как только трафик нужно посылать другим маршрутом, не работает. Канал проверял, все внешние IP работают.
Уже кучу мануалов перечитал... Ниче принципиально нового для себя не открыл.

Не работают...
Давайте сначала.
Есть основная таблица маршрутизации. В ней все внутренние маршруты и внешние с метрикой 100.
Есть альтернативная таблица с другими WAN_IP и GateWay_IP с метрикой, допустим, 70.
Route wan2 all-nets wan2_gw 70 No
Создаю PBR для альтернативной таблицы, чтобы весь трафик из посети LAN-X ходил через альтернативный маршрут...
Alt_rule lan Lan-X wan2 all-nets all-services
И вот не работает.

Тут вопрос даже не в том, почему не работает моя конфигурация... Вопрос, как данную задачу оформить правильно с самого начала.

Я только сегодня занималмя этим самым.
Показывайте скринами все таблицы и правила и прочее.
Как ип адреса опубликованы.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Дык а всё-же, как идеологически правильно? Есть мануал на эту тему? Нужно-ли обратную маршрутизацию ваять?

Можно конечно, го тогда надо как то логически пилить сеть клиентов например на вланы.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

т.е. надо несколько выходов в инет, привязанные к разным портам?
у многих такая конфигурация, у меня например, все работает
давайте подробный расклад, со скриншотами

в том то и дело что у ТС , приходит все в одном хвосте .
тут вопрос как это приземляется и публикуется . об этом ни слова .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

От провайдера физический канал один. В нем много внешних IP из разных пулов, соответственно с разными внешними шлюзами.
На одном шлюзе висит около 8-ми IP. В пределах этого шлюза всё работает на ура.
Я могу оставить один входящий канал в WAN1, либо разделить его снаружи свитчем на 2, воткнуть также и WAN2.
Пока внешних шлюзов 2. Но их может стать больше. Поэтому я прошу помочь с наиболее правильным решением данной задачи.
Я готов поднять всё с нуля, если надо будет.
Господа, давайте к вопросу подходить системно... Начнем с публикации внешних IP на физические интерфейсы.
Есть претензии? Или в моем случае правильно будет использовать другой метод? XPublish например...

Давайте!

Сверьтесь с этим
viewtopic.php?f=3&t=114002

И добейтесь пинга всех внешних адресов СНАРУЖИ из Интернета.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Начал сначала.
Достал из закромов DFL-210. Обновил до последней прошивки.
Настроил WAN: wan_ip , wan_net, wan_gw
Настроил Lan: lan_ip, lan_net
Маршруты соответственно (метрика 100)
Создал разрешающие правила: NAT all_tcpudpicmp LAN lan_net WAN all-nets
В ноуте из lan_net появился интернет

Далее создал подсеть lan2 и lan2_ip
Опубликовал ARP на lan lan2_ip (без мака) Publish
Добавил маршрут core lan2_ip с метрикой 0
Создал wan_ip2, wannet2, wan_gw2 (100% рабочие, но из другого пространства, нежели wan_ip !!!!!!!!)
Опубликовал ARP на wan wan2_ip (без мака) Publish
Добавил маршрут core wan_ip2 с метрикой 0
Добавил маршрут wan wannet2 с метрикой 100
Добавил маршрут wan all-nets wan_gw2 с метрикой 100
Создал правило Allow ping-inbound wan all-nets core wan_ip2
Ping на wan_ip2 снаружи не появился

Внимание, вопрос: что сделать далее, чтобы трафик ноута из пространства lan2 пошел через wan_ip2

Пробовал SAT+Allow, NAT с выбором отправителя... не работает
Я так понимаю, что нужны еще какие-то маршруты... может альтернативная таблица маршрутизации и правила PBR?

Да пбр нужен.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

viewtopic.php?t=65359&start=14
viewtopic.php?f=3&t=93443

По идее, Вам, видимо, оба полезны.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.