faq обучение настройка
Текущее время: Чт мар 28, 2024 11:27

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Ср дек 16, 2015 13:00 
Не в сети

Зарегистрирован: Вт дек 01, 2015 18:27
Сообщений: 14
Добрый день
Есть DFL 260e плюс Yota B953 в качестве резервного канала, порт WAN - основной провайдер, порт DMZ Yota B953 - резервный канал. DMZ порт получает от устройства Yota B953 адрес по DHCP. Настроено согласно статье http://www.dlink.ru/ru/faq/85/576.html. В случае падения основного канала трафик идет по Yota B953, проброс локальной сети в интернет работает нормально.
Yota B953 имеет внешний статический адрес, настроен проброс портов 25 и 443 на локальный IP порт, который принадлежит DFL 260e конкретно DMZ. Для Yota B953 это постоянный IP адрес.
Но трафик по этим портам не заворачивается на DFL.
Настроены правила:

16 yota_owa_sat SAT dmz dmznet core dmz_ip https-in
17 yota_owa_allow Allow any all-nets core dmz_ip https-in
18 yota_nat_owa NAT lan lannet core dmz_ip https-in

22 Yota_SMTP_NAT NAT lan lannet core dmz_ip smtp
23 Yota_SMTP_SAT SAT dmz dmznet core dmz_ip smtp-in
24 Yota_SMTP_Allow Allow any all-nets core dmz_ip smtp-in

Согласно приведенной статье есть фраза:
все перенаправления трафика осуществляются при помощи Routing Rules (PBR), который направляет указанный трафик на альтернативную таблицу маршрутизации, где в отличие от основной таблицы маршрутизации основным подключением служит второй провайдер, а резервным – первый.
Обязательно настраивать Routing Rules (PBR)?
Или у меня неправильно настроены основные правила?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср дек 16, 2015 13:30 
Не в сети

Зарегистрирован: Вт фев 13, 2007 12:39
Сообщений: 128
Откуда: Saint-Petersburg
судя по всему, у Вас проблемы с forward и return таблицами маршрутизации. правили сами по себе ничего не маршрутизируют, а только разрешают/запрещают. Вам необходимо создать вторую таблицу маршрутизации с зеркальной метрикой относительно первой таблицы. а также pbr для нужных Вам сервисов.
это для того, чтобы постоянно ходило через 2-го провайдера.

если же речь только о падении первого, тогда можно без pbr. тогда внимательно смотрите Вашу таблицу маршрутизации и не забудьте мониторить маршруты через первого провайдера, чтоб дфл мог помечать маршруты как нерабочие.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 11:51 
Не в сети

Зарегистрирован: Вт дек 01, 2015 18:27
Сообщений: 14
Можно привести хоть какой-то наглядный пример, у меня задача - в случае падения использовать Yota канал для отправки/получения писем. Согласно статье приведенной в начале, начиная с заголовка Использования PBR для перенаправления трафика через другого ISP.
А моем случае как быть?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 12:12 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
viewtopic.php?f=3&t=29666
со слов Серия DFL: Пример настройки PBR от пользователя YuriAM

полезно иногда в прилепленные посмотреть ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 14:23 
Не в сети

Зарегистрирован: Вт дек 01, 2015 18:27
Сообщений: 14
Нужно ли мне вообще создавать альтернативный маршрут?
Задача направить весь SMTP трафик через резервный канал, в случае падения основного. Просто так ничего маршрутизировать не нужно.

Создал альтернативную таблицу маршрутизации:

Name - Alt, Ordering - Only

Создал маршруты:
Метрика временная для проверки доступа по smtp
1 Route wan WAN1_NET WAN1_GW 90 Yes Основной маршрут - включен мониторинг (если канал пропал, то переходим к резервному)
2 Route dmz dmznet dmz_gw 70 No Резервный маршрут

А вот с правилами маршрутизации я не совсем понимаю:

Name: smtp
Forward routing table: main

Return routing table: Alt

Service: smtp-inbound


1 smtp any all-nets core dmz_ip smtp-inbound

Данная конфигурация не говорит о том, что весь входящий трафик из вне на DMZ IP по 25 порту должен переадресовываться в альтернативную таблицу, где Yotа является основным маршрутом?
Телнет не работает.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 14:46 
Не в сети

Зарегистрирован: Вт фев 13, 2007 12:39
Сообщений: 128
Откуда: Saint-Petersburg
нет, Вам не нужна альтернативная маршрутизация.
как я уже писал:
1) Вам нужен мониринг основного маршрута до 0.0.0.0 через интерфейс основного провайдера (см. вкладку monitoring в настройках маршрута)
2) альтернативный маршрут до 0.0.0.0 через интерфейс дмз с большей метрикой
3) правилььно настроеные правила (ip rules)
4) все


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 15:03 
Не в сети

Зарегистрирован: Вт дек 01, 2015 18:27
Сообщений: 14
Таблица main:
1.
12 Route wan WAN1_NET 50 Yes Мониторинг включен
13 Route wan all-nets WAN1_GW 50 Yes Мониторинг включен


2.
14 Route dmz dmznet 60 No
15 Route dmz all-nets dmz_gw 60 No

Данная конфигурация работает, если отрубить основной маршрут исходящий трафик идет по альтернативному, проверено.

Но вот входящий трафик не проходит.

3. Правила для входящего трафика:
22 Yota_SMTP_NAT NAT lan lannet core dmz_ip smtp
23 Yota_SMTP_SAT SAT dmz dmznet core dmz_ip smtp-in
24 Yota_SMTP_Allow Allow any all-nets core dmz_ip smtp-in

SAT Указывает на почтовый сервер, для основного интерфейса это работает.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 15:06 
Не в сети

Зарегистрирован: Вт дек 01, 2015 18:27
Сообщений: 14
Я правильно понимаю, если добавить правила в Routing Tables, то они становятся приоритетными для всего устройства?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 16:29 
Не в сети

Зарегистрирован: Вт фев 13, 2007 12:39
Сообщений: 128
Откуда: Saint-Petersburg
1) 23-е правило странное. должно быть dmz/all-net, если там перед ним (интрефейсом dmz) ничего не наверчено, конечно.
2) старайтесь НИКОГДА не использовать any в правилах
3) правила ip rules и routes это совсем разные вещи
4) Вы говорите про отсутствие входящего траффика. как проверяли? может дело в непоменяной mx-записи? :)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 17:24 
Не в сети

Зарегистрирован: Вт дек 01, 2015 18:27
Сообщений: 14
1. В данном правиле так указано потому, порт DMZ смотрит на локальную сеть Yota маршрутизатора, который пробрасывает порт 25 на него. Т.е. DMZ находится за NAT.
На всякий случай поставил all-net - не помогло. Выше есть все настройки.
2. Спасибо буду иметь ввиду.
3. Вот тут я и пытаюсь понять. Если я правила создал в routes, то сначала отработают эти правила, а затем уже обратятся к другим? Или это не пересекающиеся правила?
4. Проверял по IP адресу telnet. Из локальной подсети Yota telnet работает на локальный DMZ, т.е. проброс идет на почтовый сервер.
Что еще нужно проверить?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт дек 17, 2015 17:51 
Не в сети

Зарегистрирован: Вт фев 13, 2007 12:39
Сообщений: 128
Откуда: Saint-Petersburg
1) Вам виднее, у меня нет схемы.
3) забудьте о слове "правило" и "маршрут" в одном предложении. это НЕСВЯЗАННЫЕ вещи. упрощенно говоря - сначала вычисляется маршрут, затем проверяется можно ли пропустить пакет.
4) проверяли снаружи? неужели в логах тишина (поставьте в правилах логирование, чтоб видеть срабатывание)? точно дело не в прокидывании девайсом йоты? при текущих настройках, если подключиться к дмз чем-нить, взять любой адрес из дмз и телнет на dmz-ip дфл, ответит почтовый сервер?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 18, 2015 14:14 
Не в сети

Зарегистрирован: Вт дек 01, 2015 18:27
Сообщений: 14
Вот что говорят логи:

2015-12-18
14:57:24 Warning RULE 6000051 Default_Rule TCP dmz 31.186.103.150 10.0.0.5 50219 443 ruleset_drop_packet drop
ipdatalen=28 tcphdrlen=28 syn=1
2015-12-18
14:57:24 Info CONN 600001 Yota_SMTP_Allow TCP dmz lan 74.112.64.95 10.0.0.5 35575 25 conn_open
atdestrule=Yota_SMTP_SAT conn=open
2015-12-18
14:57:23 Warning RULE 6000051 Default_Rule TCP dmz 31.186.103.150 10.0.0.5 50218 443 ruleset_drop_packet drop
ipdatalen=28 tcphdrlen=28 syn=1
2015-12-18
14:57:21 Info CONN 600001 Yota_SMTP_Allow TCP dmz lan 84.205.241.3 10.0.0.5 62959 25 conn_open
satdestrule=Yota_SMTP_SAT conn=open
2015-12-18
14:57:21 Warning TCP_FLAG 3300019 TCPSequenceNumbers TCP dmz lan 84.205.241.3 192.168.50.26 62846 25 tcp_seqno_too_high drop



Правило для доступа:

1 owa_sat SAT any all-nets core wan3_IP https-in
2 nat_owa NAT lan lannet core wan3_IP https-in
3 owa_allow Allow Inet all-nets core wan3_IP https

22 Yota_SMTP_NAT NAT lan lannet core dmz_ip smtp
23 Yota_SMTP_SAT SAT any all-nets core dmz_ip smtp-in
24 Yota_SMTP_Allow Allow Inet all-nets core dmz_ip smtp-in

Кстати, для SAT мне нужен доступ со всех интерфейсов, как тут без any обойтись?
Доступа нет.

Девайс прокидывает, проверял напрямую в локальную подсеть Yota на FTP сервер, все ок.
С локальной подсети Yota телнет на почтовый сервер работает.
А вот извне, как видно по логам блокирует пакеты, причем источник интерфейсов и правила применяются разные.
По сути пакты приходят на девайс Yota, она их заруливает на локальный IP 10,0,0,5 - это интерфейс dmz.
Я так понимаю у меня с правилами что-то не так, но вот что?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 18, 2015 14:42 
Не в сети

Зарегистрирован: Вт окт 21, 2014 16:50
Сообщений: 35
Ох уж эти Yota...

Вам надо определиться - либо NAT либо Allow, вот Вам кусочек плагиата из другой темы

"надо считать экраны, которые должен пройти пакет, ежели экран один, то ставь allow
например для sat правила, когда пакет должен дойти до адреса внешнего интерфейса экрана и дальше его подхватит сат правило - нат не нужен
или когда надо пройти из лан в дмз и обратно - вполне можно обойтись allow
но когда надо пройти два экрана и более, необходим nat
при allow он у тебя туда пойдет (и дойдет), потому что ему разрешено, и встреченные экраны маршрут ему обеспечат, но память у него будет на обратный путь только на один экран, т.е. при маршруте: lan1---dfl1---dfl2---lan2
придя в lan2 пакет будет помнить обратную дорогу только до dfl1, а когда он туда вернется, для дфл1 он будет чужим, т.к. цепочки подстановки адреса нет (вот он и говорит что у тебя tcp номер левый)"


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 18, 2015 14:52 
Не в сети

Зарегистрирован: Вт фев 13, 2007 12:39
Сообщений: 128
Откуда: Saint-Petersburg
как раз из логов видно, что коннекшн открывается по 25-му порту. на почтовом сервере что с маршрутизацией? шлюзом стоит дфл?

давайте разберемся по частям, пока посмотим только входящее
еще раз правила:
s-all-to-mail-smtp sat dmz/all-net core/dmz-ip smtp sat-to mail-ip
a-all-to-mail-smtp allow dmz/all-net core/dmz-ip smtp

если так не заработает, замените в обоих правилах core на dmz-if

посмотрим логи, дальше будет виднее.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт дек 18, 2015 18:36 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
а на йоте то можно маршрут прописать, есть там такое?
ежели проброс там прописали, может и маршрут можно?
схема тогда такая
server---dfl-dmz------yota
на йоте пишем маршрут на лан через дмз_ip, и пишем проброс на йоте прямо на server_ip
ну на дфл между лан и дмз разрешающие правила
может понадобится и пбр, надо будет по логам посмотреть
у меня примерно так одна схемка работает, интернет (резервный) идет в сеть через два дфл (wan2_dfl2---port_vlan1_dfl2---wan2_dfl1---lan1), а проброс внутрь (через этот же резерв) проходит нормально (дфлки в одну сеть воткнуты, пробрасывать надо на dmz_dfl1, сразу сат на нужный адрес, маршруты позволяют - отлично все проходит), а обратную маршрутизацию для проброса - через пбр (так проще)

да, нужно будет пбр правило
альт таблица - дмз_ip алл_нетс
форвард - маин
ретюрн - альт
Source: dmz all_nets
Destination: lan lan_net
извиняюсь, неправильно написал пбр, поправил через несколько часов

кроме all_nets надо указать будет в маршрутах сеть на дмз интерфейсе, на которой йота сидит, на нее отдельно правила разрешающие с сети йота-дмз в lan

и еще добавка - на дмз ip можно статический прописать из йотовского dhcp диапазона, указав тот же шлюз, что йота выдает, все будет нормально работать


Последний раз редактировалось Shkiper Сб дек 19, 2015 00:53, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 56


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB