faq обучение настройка
Текущее время: Чт мар 28, 2024 15:10

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: DFL-860E и failover IPSec over GRE
СообщениеДобавлено: Вс авг 19, 2018 09:49 
Не в сети

Зарегистрирован: Ср окт 15, 2014 17:30
Сообщений: 11
всем привет
так случилось, что провайдер стал частично блокировать UDP, причем из-за кадровой проблемы или еще из-за чего-то, при всем желании, провайдер не смог разобраться как это он вдруг стал делать и как это отменить. В результате на одном из WAN-ов IPSec-а не стало, процесс умирал на IKE phase1
Пару месяцев я ждал и все работало на втором резервном провайдере, но после того как мне было озвучено "мы все перепробовали", понял что ждать больше нечего

в результате получилось вполне себе рабочее решение - поднять GRE, а по нему уже и IPSec
с двух сторон два DFL-860E, на каждом по 2 WAN от разных провайдеров, меж ними настроено 4 канала.
Все 4 подняты и мониторятся рабочими одновременно, трафик идет в канал с минимальной метрикой.

Если есть интерес, могу сделать HOW-To


Последний раз редактировалось doctorA Вс авг 26, 2018 06:01, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec over GRE
СообщениеДобавлено: Пн авг 20, 2018 08:18 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Можно было и не спрашивать...)))

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec over GRE
СообщениеДобавлено: Пн авг 20, 2018 23:09 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
doctorA писал(а):
Если есть интерес, могу сделать HOW-To
Сделайте, если не сложно.
Конечно это будет полезно многим.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec over GRE
СообщениеДобавлено: Сб авг 25, 2018 16:42 
Не в сети

Зарегистрирован: Ср окт 15, 2014 17:30
Сообщений: 11
в предлагаемой схеме 2 DFL - Master & Slave

настраиваем адресную книгу Master dfl
Master_lannet - 192.168.1.0/24
Master_wan1 - 1.1.1.10
Master_wan2 - 2.2.2.20
Slave_wan1 - 3.3.3.30
Slave_wan2 - 4.4.4.40
Slave_lannet 192.168.2.0/24
remote_GRE1 - 192.168.22.1
remote_GRE2 - 192.168.22.2
remote_GRE3 - 192.168.22.3
remote_GRE4 - 192.168.22.4
local_GRE1 - 192.168.11.1
local_GRE2 - 192.168.11.2
local_GRE3 - 192.168.11.3
local_GRE4 - 192.168.11.4
remote_IPSec_1 - 192.168.2.221
remote_IPSec_2 - 192.168.2.222
remote_IPSec_3 - 192.168.2.223
remote_IPSec_4 - 192.168.2.224
local_IPSec_1 - 192.168.1.221
local_IPSec_2 - 192.168.1.222
local_IPSec_3 - 192.168.1.223
local_IPSec_4 - 192.168.1.224
делаем группу адресов LOCAL_NETS, добавляем туда Master_lannet и Slave_lannet

настраиваем адресную книгу Slave dfl
Slave_wan1 - 3.3.3.30
Slave_wan2 - 4.4.4.40
Slave_lannet 192.168.2.0/24
Master_lannet - 192.168.1.0/24
Master_wan1 - 1.1.1.10
Master_wan2 - 2.2.2.20
remote_GRE1 - 192.168.11.1
remote_GRE2 - 192.168.11.2
remote_GRE3 - 192.168.11.3
remote_GRE4 - 192.168.11.4
local_GRE1 - 192.168.22.1
local_GRE2 - 192.168.22.2
local_GRE3 - 192.168.22.3
local_GRE4 - 192.168.22.4
remote_IPSec_1 - 192.168.1.221
remote_IPSec_2 - 192.168.1.222
remote_IPSec_3 - 192.168.1.223
remote_IPSec_4 - 192.168.1.224
local_IPSec_1 - 192.168.2.221
local_IPSec_2 - 192.168.2.222
local_IPSec_3 - 192.168.2.223
local_IPSec_4 - 192.168.2.224
делаем группу адресов LOCAL_NETS, добавляем туда Master_lannet и Slave_lannet

далее для каждого DFL создаем по две дополнительные таблицы маршрутизации, называем их WAN1 и WAN2
WAN1: interface WAN1, Network All-nets, gateway Wan1_gw, metric 80
WAN2: interface WAN2, Network All-nets, gateway Wan2_gw, metric 80
смысл в том, чтобы весь трафик при использовании этой таблицы шел в жестко заданный WAN. Мониторинг тут не нужен.

создаем 4 GRE тоннеля, галки добавления маршрута в таблицу и динамического маршрута везде отключаем.
Master DFL:
GRE1: IP address local_GRE1, Remote network не указываем, Remote endpoint - Slave_wan1, Outgoing Routing Table - WAN1
GRE2: IP address local_GRE2, Remote network не указываем, Remote endpoint - Slave_wan2, Outgoing Routing Table - WAN2
GRE3: IP address local_GRE3, Remote network не указываем, Remote endpoint - Slave_wan2, Outgoing Routing Table - WAN1
GRE4: IP address local_GRE4, Remote network не указываем, Remote endpoint - Slave_wan1, Outgoing Routing Table - WAN2
Slave DFL:
GRE1: IP address local_GRE1, Remote network не указываем, Remote endpoint - Master_wan1, Outgoing Routing Table - WAN1
GRE2: IP address local_GRE2, Remote network не указываем, Remote endpoint - Master_wan2, Outgoing Routing Table - WAN2
GRE3: IP address local_GRE3, Remote network не указываем, Remote endpoint - Master_wan1, Outgoing Routing Table - WAN2
GRE4: IP address local_GRE4, Remote network не указываем, Remote endpoint - Master_wan2, Outgoing Routing Table - WAN1

добавляем созданные каналы в Interface Groups»LOCAL_Group вместе с LAN
добавляем оба WAN в Interface Groups»WANS_Group

в Main IP Rules добавляем правила
LOCAL_LANs_to_core:
Action: allow, Source Interface: LOCAL_Group, Source Network: LOCAL_NETS, Destination Interface: core, Destination Network: LOCAL_NETS, Service: all_tcpudpicmp
InternalRule:
Action: allow, Source Interface: LOCAL_Group, Source Network: LOCAL_NETS, Destination Interface: LOCAL_Group, Destination Network: LOCAL_NETS, Service: all_tcpudpicmp
allow_standard:
Action: NAT, Source Interface: LOCAL_Group, Source Network: LOCAL_NETS, Destination Interface: WANS_Group, Destination Network: all-nets, Service: all_tcpudpicmp, NAT action: Use interface address

в таблицу Main добавляем маршруты для GRE:
Interface: GRE1, Network: remote_GRE1, Gateway: (None), Local IP address: (None), Metric 10
Interface: GRE2, Network: remote_GRE2, Gateway: (None), Local IP address: (None), Metric 10
Interface: GRE3, Network: remote_GRE3, Gateway: (None), Local IP address: (None), Metric 10
Interface: GRE4, Network: remote_GRE4, Gateway: (None), Local IP address: (None), Metric 10
смысл в том, чтобы при обращении к IP-адресу GRE-канала завернуть трафик именно в него.

далее создаем 4 IPSec канала, убираем галки автоматического добавления маршрута
IPSec1: Local Network: lannet, Remote Network: Slave_lannet, Remote Endpoint: remote_GRE1, Outgoing Routing Table: main, Local Endpoint: local_GRE1, Incoming Interface Filter: any, IP Address: local_IPSec_1
IPSec2: Local Network: lannet, Remote Network: Slave_lannet, Remote Endpoint: remote_GRE2, Outgoing Routing Table: main, Local Endpoint: local_GRE2, Incoming Interface Filter: any, IP Address: local_IPSec_2
IPSec3: Local Network: lannet, Remote Network: Slave_lannet, Remote Endpoint: remote_GRE3, Outgoing Routing Table: main, Local Endpoint: local_GRE3, Incoming Interface Filter: any, IP Address: local_IPSec_3
IPSec4: Local Network: lannet, Remote Network: Slave_lannet, Remote Endpoint: remote_GRE4, Outgoing Routing Table: main, Local Endpoint: local_GRE4, Incoming Interface Filter: any, IP Address: local_IPSec_4

в таблицу Main добавляем маршруты для IPSec:
Interface: IPSec1, Network: remote_IPSec_1 , Gateway: (None), Local IP address: (None), Metric 10
Interface: IPSec2, Network: remote_IPSec_2 , Gateway: (None), Local IP address: (None), Metric 10
Interface: IPSec3, Network: remote_IPSec_3 , Gateway: (None), Local IP address: (None), Metric 10
Interface: IPSec4, Network: remote_IPSec_4 , Gateway: (None), Local IP address: (None), Metric 10
эти маршруты создаются для правильной работы мониторинга каналов, который мы сейчас сделаем:

в таблицу Main добавляем маршруты для Slave_lannet:
Interface: IPSec1, Network: Slave_lannet, Gateway:(None), Local IP address: (None), Metric: 21, мониторинг пингом хоста remote_IPSec_1
Interface: IPSec2, Network: Slave_lannet, Gateway:(None), Local IP address: (None), Metric: 22, мониторинг пингом хоста remote_IPSec_2
Interface: IPSec3, Network: Slave_lannet, Gateway:(None), Local IP address: (None), Metric: 23, мониторинг пингом хоста remote_IPSec_3
Interface: IPSec4, Network: Slave_lannet, Gateway:(None), Local IP address: (None), Metric: 24, мониторинг пингом хоста remote_IPSec_4

то же самое на Slave DFL, только для Master_lannet

собственно, это всё. Каналы подняты постоянно, мониторинг работает, пропажа линка быстро отрабатывается.
все настройки IPSec не стал приводить, там все стандартно, написал только ключевые параметры.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec over GRE
СообщениеДобавлено: Сб авг 25, 2018 16:53 
Не в сети

Зарегистрирован: Ср окт 15, 2014 17:30
Сообщений: 11
да, еще забыл два правила важных
нужно сделать так, чтобы ответ на пришедшее с WAN уходил туда же, а не куда попало

Вложение:
1.png
1.png [ 39.12 KiB | Просмотров: 2181 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec over GRE
СообщениеДобавлено: Сб авг 25, 2018 16:58 
Не в сети

Зарегистрирован: Ср окт 15, 2014 17:30
Сообщений: 11
вот скрин с реального девайса

Вложение:
2.png
2.png [ 32 KiB | Просмотров: 2181 ]


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 32


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB