faq обучение настройка
Текущее время: Вт июн 18, 2019 16:46

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
СообщениеДобавлено: Чт сен 21, 2017 12:35 
Не в сети

Зарегистрирован: Пт сен 21, 2007 00:45
Сообщений: 15
Добрый день!

Имеется DFL-260e (f/w: 11.10.01.06-31274), с двумя провайдерами (второй настроен на порту DMZ)
Есть мониторинг маршрутов по-умолчанию + failover,
есть вторая таблица маршрутизации и правило маршрутизации (для таблицы main - сначала первый пров, фейловер на второго; для vlan'а - выход в инет через второго прова, фейловер на первого)

В нормальной, обычной ситуации:
пользователи lan работают через первого прова
пользователи из vlan отлично работают через второго прова (т.е. на "выход" проблем связи нет)

Есть трабл с доступом к веб-админке (а так же пинг белых адресов) извне.
(доступ к админке разрешён из локальной сети + мой удалённый белый ip. аналогично - пинг)

По адресу первого провайдера - админка и пинг работают
По адресу второго провайдера - админка не открывается, пинг _редко_ проходит (см. вложение1)
(при падении первого провайдера отрабатывает failover и пинги+админка по второму каналу работает исправно)

При этом, снимаю дамп пакетов во время попытки открытия админки по адресу второго прова
Вижу, что запрос поступает с моего адреса (80.92..) на адрес второго прова (77.91...) на порт DMZ, но ДФЛ отвечает от адреса (77.91...) на мой адрес (80.92...) с интерфейса первого прова wan (см. вложение2)
Дамп пакетов во время пингования - аналогичный

Самое странное, что прошивка и настройки этой DFL полностью аналогичны в другом филиале - и там такой проблемы нет!
Одно исключение из аналогичности настроек:
В работающем филиале два прова с подсетями /30
В НЕ работающем филиале первый пров /27, второй пров /24 (это важно?)

Что проверял:
- System - Remote management - HTTPS - Access filter: wans (group wan+dmz) / trusted (group lannet+80.92...)
- System - Remote management - Advanced settings - WebUI before rules = true
- Network - Routing - Main:
Код:
Flags Network               Iface          Gateway         Metric
        178.214..../27       wan                                   100
        192.168.101.0/24  vlan                                   100
        77.91..../24          dmz                                    100
        192.168.245.0/24   lan                                    100
  M    0.0.0.0/0              wan         178.214....            90
  M    0.0.0.0/0              dmz         77.91....                95
       192.168.101.1       core           (Iface IP)             0
       192.168.245.1       core           (Iface IP)             0
       77.91....                core           (Iface IP)             0
       178.214....            core           (Iface IP)              0
       127.0.0.1              core           (Shared IP)           0


Подскажите, пожалуйста, что ещё нужно показать/посмотреть для решения задачи?

Заранее благодарен!


Вложения:
Комментарий к файлу: пинг на белые адреса обоих провайдеров.
тёмно-зеленая заливка - пинг первого прова
тёмно-красная линия - пинг второго прова

Снимок.PNG
Снимок.PNG [ 30.21 KiB | Просмотров: 898 ]
Комментарий к файлу: запрос на один интерфейс, а ответ от второго интерфейса
пакеты.png
пакеты.png [ 34.15 KiB | Просмотров: 898 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 21, 2017 12:46 
Не в сети

Зарегистрирован: Пт сен 21, 2007 00:45
Сообщений: 15
Пробовал:

+ новая таблица маршрутизации с режимом Only, в которой:
Код:
Routing table: Untitled
Flags  Network            Iface          Gateway         Local IP        Metric
------ ------------------ -------------- --------------- --------------- ------
       192.168.245.1      core           (Iface IP)                      0
       192.168.101.1      core           (Iface IP)                      0
       77.91....      core           (Iface IP)                      0
       178.214....   core           (Iface IP)                      0
       127.0.0.1          core           (Shared IP)                     0
       224.0.0.0/4        core           (Iface IP)                      0
       0.0.0.0/0          dmz   77.91....                     100

+ правило маршрутизации:
Код:
Contents of policy based routing ruleset; default: use standard routing table
#   Name                                                    Action  Log    Usage
    Details
--- ------------------------------------------------------- ------- --- --------
2   Untitled                                                Route   Yes       14
    SRC: *:77.91....
    DST: wan,dmz:0.0.0.0/0
    Service: all_services
    FwdTable: Untitled
    RetTable: main


Эффекта не дало :(


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 21, 2017 13:39 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8463
Откуда: Москва
prog_mike писал(а):
В работающем филиале два прова с подсетями /30
В НЕ работающем филиале первый пров /27, второй пров /24 (это важно?)
Да, это важно.
Покажите правила для "работающего" филиала.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 21, 2017 14:31 
Не в сети

Зарегистрирован: Пт сен 21, 2007 00:45
Сообщений: 15
MTRX писал(а):
Покажите правила для "работающего" филиала.


Все настройки полностью идентичны. Наверное, Вы имели ввиду таблицу маршрутизации?
(ошибся я. в работающем филиале тоже подсети провайдеров не одинаковы)

Код:
Flags  Network            Iface          Gateway         Local IP        Metric
------ ------------------ -------------- --------------- --------------- ------
       192.168.101.1      core           (Iface IP)                      0
       192.168.244.1      core           (Iface IP)                      0
       94.153....      core           (Iface IP)                      0
       213.159....     core           (Iface IP)                      0
       127.0.0.1          core           (Shared IP)                     0
       94.153..../30   dmz                                        100
       192.168.101.0/24   vlan                                     100
       192.168.244.0/24   lan                                            100
       213.159..../23   wan                                      100
       224.0.0.0/4        core           (Iface IP)                      0
  M    0.0.0.0/0          dmz        94.153....                   90
  M    0.0.0.0/0          wan      213.159....                   95


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 21, 2017 14:55 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8463
Откуда: Москва
Очень сложно общаться с людьми, которые лучше меня знают, что я имел ввиду...

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 21, 2017 15:03 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8463
Откуда: Москва
Дождитесь Юрия.
По маршрутам с разными портами и провайдерами - он мастер ;-)

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 21, 2017 15:26 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7162
Откуда: Екатеринбург
Когда не знаешь, где зарыт клад, копать приходится глубоко, а потом еще и широко. Лучше сразу пытать знающего человека. :)

Найдите в Полезных настройках тему о DFL PBR. Это как бы домашнее задание. :)

Цитата:
Серия DFL: Пример настройки PBR от пользователя YuriAM
- ответ по двум WAN портам: viewtopic.php?t=65359&start=14
- выход в интернет пользователей по разным WAN портам: viewtopic.php?f=3&t=93443

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 21, 2017 15:58 
Не в сети

Зарегистрирован: Пт сен 21, 2007 00:45
Сообщений: 15
Огромное спасибо!

Я понял свою ошибку.

YuriAM писал(а):
Найдите в Полезных настройках тему о DFL PBR. Это как бы домашнее задание. :)
Цитата:
Серия DFL: Пример настройки PBR от пользователя YuriAM
- ответ по двум WAN портам: viewtopic.php?t=65359&start=14


Во втором своем сообщении я пробовал сделать такое правило PBR, только не учел, что моя ситуация - это ВХОДЯЩИЙ трафик относительно DFL (я же делал PBR как для исходящего трафика).

Загадкой остается только одно: почему на другом филиале требуемое (доступность извне двух провайдеров) работает без дополнительной таблицы маршрутизации и PBR


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 21, 2017 16:09 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7162
Откуда: Екатеринбург
prog_mike писал(а):
...
Загадкой остается только одно: почему на другом филиале требуемое (доступность извне двух провайдеров) работает без дополнительной таблицы маршрутизации и PBR

Вы как минимум второй человек на форуме, который задается подобным вопросом. Отвечу, как и ему, этому есть разумное техническое объяснение. Если захотите, разберетесь в чем дело.

Как вариант, в филиале прописан конкретный маршрут со второго wan на второй удаленный wan, а на первый доступается по основному маршруту и так.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 17


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB