faq обучение настройка
Текущее время: Вс мар 24, 2019 13:23

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DFL 1660 и PBR
СообщениеДобавлено: Вт ноя 20, 2018 11:35 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Добрый день.
Имеется 2 DFL-1660, между ними есть связность посредством сети 192.168.10.0/24
На DFL A приходит провайдер с блоком внешних адресов.
На DFL B имеется внутренняя подсеть вида 192.168.1.0/24, в ней живет сервер астериск.
Вопрос - можно ли организовать на DFL A pbr таким образом, чтобы весь трафик который прилетает на один из внешних адресов маршрутизировался на Астериск, который живет на DFL B (192.168.1.100)?
Вижу это таким образом:

Создаю альтернативную таблицу маршрутизации Table_02 на DFL A и в ней маршрут:
Interface: LAN1 (тот, который имеет связность с DFL B)
Network: 192.168.1.100 (адрес Астериска на DFL B)
Gate: 192.168.10.2 (адрес DFL B в этой сети)
Metric: 120

Создаю PBR на DFL A :
Forward routing Table: Table_02
Return routing Table: main
service: All_services
Source: Any Network: All-nets
Dest: WAN Network:x.x.x.10 (внешний адрес, выделиный под Астериск)

На DFL B создаю в свою очередь тоже PBR и альтернативную таблицу маршрутизации, чтобы весь трафик в инет шел через DFL A (принцип как выше)
Ну и разрешающие правила.

Такая конфигурация верная, или где-то не прав?

Заранее спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Ср ноя 21, 2018 08:15 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8407
Откуда: Москва
Тут не обязательно делать PBR.
Достаточко сделать 3 правила:
SAT+Allow на проброс входящих
NAT со спец адресом для исходящих.

viewtopic.php?p=873935#p873935

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Ср ноя 21, 2018 10:38 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Не обязательно делать PBR на каком роутере?
На DFL A куда провайдер приходит, или на DFL B, где живет подсеть Астериска?
Без PBR на DFL A удалось сделать проброс портов на Астериск (напомню, живет на DFL B) только посредством ната (см. скриншот)
Но такая схема не устраивает, т.к. трафик на Астериск прилетает с адресом (10.10.14.4 - внутренни адрес DFL A), а нужно чтобы была маршрутизация (отображались внешние адреса источника)


Вложения:
2018-11-21_10-36_D-Link Firewall.jpg
2018-11-21_10-36_D-Link Firewall.jpg [ 25.53 KiB | Просмотров: 618 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Чт ноя 22, 2018 08:24 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
MTRX писал(а):
Тут не обязательно делать PBR.
Достаточко сделать 3 правила:
SAT+Allow на проброс входящих
NAT со спец адресом для исходящих.

viewtopic.php?p=873935#p873935


В вашем примере речь идет об одном роутере (на него и провайдер приходит, и сервера живут в его локалке).
В моем же случае используется 2 маршрутизатора. На одном провайдер, на другом локалка.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Чт ноя 22, 2018 15:29 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8407
Откуда: Москва
А зачем Вам такая изощренная комбинация?
Придется делать на обоих. Это же очевидно.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Чт ноя 22, 2018 16:24 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
MTRX писал(а):
А зачем Вам такая изощренная комбинация?
Придется делать на обоих. Это же очевидно.


Для того, чтобы не светить адресами ЦОДа, а была единая точка входа.

Не совсем вас понял, на обоих делать что? Sat-Allow?
Напоминаю, мне нужно чтобы на астериск прилетал траффик именно с адресами источника (никаких НАТов)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Чт ноя 22, 2018 18:23 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8407
Откуда: Москва
hitsup писал(а):
Напоминаю, мне нужно чтобы на астериск прилетал траффик именно с адресами источника (никаких НАТов)
Лично я так через два DFL не делал, ждите когда ответит саппорт.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Сб ноя 24, 2018 13:18 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7131
Откуда: Екатеринбург
Честно говоря, лень читать Вашу переписку и вникать. Основной пост прочел.

На обоих DFL есть WAN с выходом в инет?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Вс ноя 25, 2018 21:40 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8830
Откуда: Москва
А вот как эти dfl имеют связанность? Рисуйте схему... Ваша схема реализуема.
И ещё вопрос астериску белый адрес будет выдан?
Какую сеть даёт провайдер?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Пн ноя 26, 2018 09:08 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Интернет имеет только DFL A (на нее приходит блок /24 внешних адресов).
Связность имеют посредством физического линка между ЦОДом и Офисом.
Астериску нужен белый адрес, но нужен на уровне проброса СИП-портов.
На текущий момент посредством PBR на DFL B, Астериск бегает в интернет через DFL A и светит адресом 37.х.х.10
Задача сделать чтобы СИП-порты прилетающие на адрес 37.х.х.10 маршрутизировались на Астериск 192.168.1.75 при этом сохранялся адрес источника.

Схему сети прикрепил к посту.
Вложение:
2018-11-26_09-01.jpg
2018-11-26_09-01.jpg [ 24.71 KiB | Просмотров: 521 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Пн ноя 26, 2018 14:25 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7131
Откуда: Екатеринбург
Тогда тут простая маршрутизация безо всяких хитростей и PBR.

Лишь, как обычно, 2 золотых пункта:
1. Маршруты
2. IP-правила

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Пн ноя 26, 2018 16:57 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Забыл добавить, на DFL B нельзя пока еще делать дефолт гейт через DFL A.
Дело в том, что на DFL B на самом деле приходит интернет, но в скором времени его там быть не должно. И оснавная задача это сделать единую точку входа через ЦО, но и при этом сделать это плавно, а не сразу поменяв дефолт гейт.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Вт ноя 27, 2018 16:33 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7131
Откуда: Екатеринбург
Ладно.

Тогда PBR надо. Но только на DFL B

2 правила PBR - для входящего и исходящего трафика Астериска.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Ср ноя 28, 2018 08:52 
Не в сети

Зарегистрирован: Пн сен 19, 2016 14:49
Сообщений: 46
Можно немного подробнее про входящий пбр?
Что должно быть в качестве форвард и ретурн роутинг тейбл?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 1660 и PBR
СообщениеДобавлено: Ср ноя 28, 2018 10:35 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7131
Откуда: Екатеринбург
Очевидно, без настроенной PBR, входящий инет трафик будет отвечаться по дефолтному маршруту.

Поэтому надо создать вполне типовое правило PBR для входящего трафика вида:

<все_wan_включая_интерфейс_от_DFL_A> all-nets
<lan_интерфейса_сети_астериска> <адрес_астериска>
(сервис_входящего_трафика_астериск)


, где
таблица main - на вход (форвард),
альтернативная таблица инет трафика через DFL A - на выход (ретурн роутинг тейбл)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 19


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB