Имеется одиночный терминальный сервер без собственной локалки.
Имеется DFL-210 с работающим подключением к Корбине и статическим внешним IP.
Мне нужно подключить второго провайдера (Стрим), но таким образом, чтобы если запрос пришел на wan1, то через него дфл и отвечал бы, а если на wan2 (dmz), то через него. Т.е. чтобы на сервер можно было пролезть _одновременно_ по двум разным независимым каналам.
Такое возможно?
Если да, то можно словами вкратце порядок действий по прописыванию 2-го канала?
Планирую стримовский модем юзать в режиме роутера, чтоб он сам коннектился, общался с DynDns и выдавал бы уже готовый инет кроме как на дфл, еще и на IPMI карточку на матери.

_________________
RadioGubitel

Такое возможно. Почитайте PBR_FAQ.pdf из этой темы.

http://dlink.ru/ru/faq/85/576.html
http://forum.dlink.ru/viewtopic.php?t=59480

По сути, вам достаточно будет создать одну альтернативную таблицу маршритизации и одно правило маршрутизации, заставляющее устройство отвечать с того же интерфейса, откуда приходит запрос.

Обычно удобнее использовать модем в режиме моста, чтобы все функции управления делать центразизованно на DFL и не мучиться с двойным NAT.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Такую конфигурацию я планирую для того чтобы в случае зависания роутера я мог бы через IPMI зайдя на сервер, перегрузить дфл. Если дфл будет заниматься поднятием стримовской сессии, то так уже не выйдет, да и к другим портам адсл модема ничего уже не подцепишь.
Сервер без людей рядом и у черта на куличиках. Хотелось бы максимальной автономности.

_________________
RadioGubitel

Причина резонная.

Пара моментов: У ADSL модемов в режиме NAT кол-во соединений значительно меньше, чем у DFL, если это важно. Если вдруг DFL зависнет, то, думаю, он будет одинаково плохо отзываться и с WAN и с LAN.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1. А какую именно таблицу создавать с учетом того что у меня wan общается с локальными корбиновскими ресурсами, corb_pptp (pptp клиент) с инетом, а dmz уже с адсл модемом в режиме роутера?
2. IP Dmz-порта и IP модема в одной подсети 172.17.132.хх - это правильно?

_________________
RadioGubitel

Я уже советовал вам инструкцию. Сам с PBR разбирался по ней, т.к. даже прочитав в руководстве главу о PBR, не особенно въехал. Вот эта же инструкция на сайте:
http://dlink.ru/ru/faq/85/576.html
http://www.dlink.ru/technical/faq_firewall_54.php
Советую прочитать ее всю, чтобы понять логику работы PBR. Сказать по правде, я недавно настраивал PBR и у меня заработало в варианте, где 2 вещи сделаны вопреки моей логике рассуждений.
И настоятельно рекомендую использовать везде указание конкретных одиночных интерфейсов, а не any, как указано в некоторых инструкциях D-Link.

Это нормально, т.к. это локалка за модемом в режиме рутера. Что Вас смущает?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Инструкцию я конечно читал и не один раз. Но мне НЕ нужно мониторить маршруты с тем чтобы каналы переключались сами. Мне нужна одновременная работа по двум портам. как это переложить на мою ситуацию, у меня не хватает знаний и понимания процессов.

Да просто не работает ничего, вот уж и не знаю на что думать.

_________________
RadioGubitel

Для вас нужна самая последняя чась инструкции со словами



Приведите все ваши названия и назначения сетевых реквизитов, нужных для ответа через второй канал.

Вам ведь только это надо? Отвечать через WAN2?

И после этого у вас не факт, что заработает. Т.к. вы из-за двойного NAT не будете знать в чем дело, в DFL или модеме. Рекомендую на время настройки c PBR модем перевести в режим моста и настроить подключение PPPoE через DFL. Иначе в этих дебрях можно погибнуть.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Имя интерфейса dmz
там включен dhcp клиент, соответственно имеются dmz_ip, dmznet, dmz_gw
IP модема 172.17.132.1

Имеется в адресбуке Server_RDP, для которого прописаны правила сат и нат по аналогии с первым каналом, т.е. :
SAT - dmz - all-nets - core - dmz_ip - rdp
NAT - dmz - all-nets - core - dmz_ip - rdp


Мне нужна одновременная возможность захода по RDP на сервер разным юзерам. И чтобы при умирании (пусть и не детектируемом как у Корбины) одного канала, по второму всегда можно было зайти.


Модем у меня настроен и там все проброшено. Т.е. при подключении его напрямую к компу, зайти на него по RDP можно.

_________________
RadioGubitel

Точно такая ситуация.
Предполагаю что в этом устройстве гдето по умолчанию закрыто прохождение пакетов через интерфейс dmz
только у меня к dmz не модем подключен а комп
гдето есть какая то настроечка но я пока не нашел
и саппорт молчит

Вот только уже из описанного выше вытекает, что источником всегда будет IP модема 172.17.132.1 (NAT однака)
соответственно
SAT - dmz - all-nets - core - dmz_ip - rdp
NAT - dmz - all-nets - core - dmz_ip - rdp
алнеты должны умереть

Это так для гламура системы...
если подумать, можно еще наковырять ньюансиков


ДМЗ порт является свободноконфигурируемым - никаких особых привязок там нет. можно делать что угодно.

Не должны они умирать. Думаю, для проброса портов снаружи NAT не работает.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

У меня на ван порту сделано так для проброса рдп:
SAT - corb_pptp - all-nets - core - corb_pptp_ip - rdp
NAT - corb_pptp - all-nets - core - corb_pptp_ip - rdp
и все замечательно работает

_________________
RadioGubitel

Это понятно. Речь шла о локалке с серыми адресами между модемом и DMZ портом
DFL.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Пример настройки PBR (Policy Based Routing - маршрутизация на основе политик) для разрешения пинга снаружи по обоим интерфейсам DMZ или WAN2 для серии D-Link DFL. Подразумевается, что основной канал связи через WAN (или WAN1), а также DMZ (или WAN2) правильно настроены и работают.

Для разрешения проброса портов через порт DMZ (или WAN2) все делается аналогично. Потребуется только сменить сервис (п.3) и разрешающие правила (п.4).

1. Создаем новую таблицу маршрутизации
DFL-210 - Routing - Routing Tables - Add

Name: Alt
Ordering: Only

Alt Only No

2. Создаем новый маршрут в таблице Alt
DFL-210 - Routing - Routing Tables - Alt - Add -> Route
Interface: dmz
Network: all-nets
Gateway: dmz_gw
Local IP Address: (None)
Metric: 90

Route dmz all-nets dmz_gw 90 No
Таблица Alt содержит маршрут для входящего и исходящего трафика с интерфейса DMZ.

3. Создаем правило маршрутизации
DFL-210 - Routing - Routing Rules - Add -> Routing Rule
Name: Alt_Ping
Forward Table: main
Return Table: Alt
Service: ping-inbound
Schedule: (None)

Interface Source: dmz
Network Source: all-nets

Interface Destination: core
Network Destination: dmz_ip

Alt_ping dmz all-nets core dmz_ip ping-inbound
Это правило заставляет входящие запросы на интерфейс DMZ обрабатываться по таблице маршрутизации Alt.

4. Создаем разрешающее правило
DFL-210 - Rules - IP Rules - Add -> IP Rule

Name: ping_dmz
Action: Allow
Service: ping-inbound
Schedule: (None)

Interface Source: dmz
Network Source: all-nets

Interface Destination: core
Network Destination: dmz_ip

ping_dmz Allow dmz all-nets core dmz_ip ping_inbound
Это обычное правило, разрешающее пинги на интерфейс DMZ. Чтобы оно точно срабатывало, лучше его разместить выше остальных IP-правил и папок IP-правил.

Если настраивается проброс портов, например, для сервиса rdp, то вместо упомянутого одного правила формируютcя два правила вида:
Allow_rdp SAT dmz all-nets core dmz_ip rdp (не забыть указать адрес назначения во вкладке SAT)
Allow_rdp Allow dmz all-nets core dmz_ip rdp
А также в правиле маршрутизации в п.3 сервис изменяется на нужный (rdp).

Вот и все. Нажатия в нужных местах кнопки Ok, а также сохранение и активация конфигурации подразумеваются.

Пингуем снаружи порт DMZ. Пинг работает отовсюду.

Как исходный материал для понимания, использовалась инструкция из FAQ на русском сайте http://www.dlink.ru/ru/faq/85/576.html

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.