faq обучение настройка
Текущее время: Вс июл 20, 2025 21:34

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 20 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 30, 2010 18:46 
Не в сети

Зарегистрирован: Пн авг 15, 2005 01:40
Сообщений: 355
Откуда: Moscow
Для решения проблемы доступности DNS-серверов при нескольких провайдерах на DFL-210 я выбрал схему когда клиентам внутри сети отдаётся виртуальный ip-адрес DNS сервера, например 1.2.3.4.
Далее "в сторону каждого реального днс сервера" создаю правило SAT на нужный реальный DNS сервер, и потом классическое правило NAT для DNS_Relay'я.

"в сторону каждого реального днс сервера" -- это маршрут в сторонуWAN, DMZ, возможно у вас как и у меня есть маршщрут в сторону удалённой сети vpn-клиента либо vpn-сервера dfl'а.

с WAN и DMZ никаких проблем нет, там маршруты можно мониторить пингом, состоянием, всё замечательно, в стороны vpn-клиента. тоже всё больменее нормально, а вот в сторону поднятого vpn-сервера на DFL проблемнее, не такое гибкое решение, но тоже работает.

у меня приоритет такой для dns-серверов:
1. DNS в сети за vpn-клиентом подключенный к vpn-серверу dfl'а (точнее даже за двумя впн-клиентами, т.к. два провайдера и два впна поднято до dfl-210, т.е. два маршрута с разными метриками до удалённой сети)
2. DNS за WAN'ом
3. DNS за vpn'ом (клиент поднят на WAN'е до первого провайдера)
4. DNS за DMZ (там ещё есть пппое, но это отдельная тема :-) )
5. если всё лежит, лезет на мой DNS сервер, который ходит по рутовым серверам, через своё альтернативное соединение + отдаёт мою зону + кэшь

схема работает, есть нюансы... главный что мониторить то что находится за впн клиентом подключённым к моему серверу проблемно, поэтому система может давать сбои, как мониторить туда маршрут, пока не знаю как, разное пробовал, но пока просто, маршрут жив пока поднято впн соединение, попробую для днса сделать балансировку нагрузки через два эти впн соединения без дополнительного мониторинга, но пока и так жить можно

зы. формула простая: сколько у вас интерфесов, столько вы можете сделать переключений для dns relay'я -- в сторону каждого интерфеса свой маршрут с метрикой определяющей приоритет днса/направления

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 30, 2010 19:27 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Gravis_D-Link писал(а):
...
зы. формула простая: сколько у вас интерфесов, столько вы можете сделать переключений для dns relay'я -- в сторону каждого интерфеса свой маршрут с метрикой определяющей приоритет днса/направления
Спасибо. Много написали. Я пытался уловить основную идею. Но не смог. :) Можно другими словами? Более схематично/строго.

Идея в том, что один виртуальный адрес DNS сервера для клиентов переключается на очередной живой DNS сервер? За счет чего обеспечивается переключение между серверами? За счет ICMP мониторинга?

Суть не улавливаю. :?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 30, 2010 19:46 
Не в сети

Зарегистрирован: Пн авг 15, 2005 01:40
Сообщений: 355
Откуда: Moscow
мониторинг какой настроете, такой и будет, вы публикуете маршрут на 1.2.3.4 через WAN и DMZ с разными метриками, например 11 и 12
и мониторите удобным для вас способом, либо арп шлюза, либо icmp, либо состояние интерфейса.
С физическими интерфейсаи проблем нет. Они мониторятся всеми доступными средствами (хоть пинг самого днс-сервера, если в этом есть необходимость, главное чтоб пинг бегал через мониторируемый маршрут, либо просто через через 0.0.0.0/0 если такой маршрут уже имеется на интересующем интерфесе).

Проблема когда днс сервер находится за впн-клиентом подключённого к вашему впн серверу, там мониторинг я настроить не смог, поэтому если впн упадёт, то маршрут сам динамически снимится, т.к. отвалился впн клиент, если он зависнет, то пока результат плачевный

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 30, 2010 21:09 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Gravis_D-Link писал(а):
мониторинг какой настроете, такой и будет, вы публикуете маршрут на 1.2.3.4 через WAN и DMZ с разными метриками, например 11 и 12
и мониторите удобным для вас способом, либо арп шлюза, либо icmp, либо состояние интерфейса.
С физическими интерфейсаи проблем нет. Они мониторятся всеми доступными средствами (хоть пинг самого днс-сервера, если в этом есть необходимость, главное чтоб пинг бегал через мониторируемый маршрут, либо просто через через 0.0.0.0/0 если такой маршрут уже имеется на интересующем интерфесе).

Проблема когда днс сервер находится за впн-клиентом подключённого к вашему впн серверу, там мониторинг я настроить не смог, поэтому если впн упадёт, то маршрут сам динамически снимится, т.к. отвалился впн клиент, если он зависнет, то пока результат плачевный
Спасибо, вроде понял. Т.е. мониторящиеся маршруты мы создаем для виртуального адреса 1.2.3.4. Мониторить можем для этих маршрутов DNS серверы, располагаемые за определенными интерфейсами. А реально пакеты на эти серверы пойдут в соотвествии с обработкой их SAT и NAT правилами. Где в SAT правиле виртуальный адрес назначения 1.2.3.4 будет подменен на адрес реального DNS сервера, искомого через связанный с ним интерфейс. Все так?

Любопытно. По различным методам работы с DNS серверами на DFL уже впору писать подробный FAQ (ЧаВО). :)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 30, 2010 21:10 
Не в сети

Зарегистрирован: Ср авг 08, 2007 11:12
Сообщений: 480
Откуда: Украина, Киевская обл.
danilovav писал(а):
Вы лучше проверьте вашу сеть на предмет наличия VLAN 0

Если можно поясните как это сделать ?

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 30, 2010 21:32 
Не в сети

Зарегистрирован: Пн авг 15, 2005 01:40
Сообщений: 355
Откуда: Moscow
YuriAM, да, вы всё правильно поняли.

А FAQ на эту тему точно нужен, т.к. тема актуальная, а решение, особенно с использованием "виртуальных" интерфейсов, имеет ряд серьёзных ограничений (что нельзя опубликовать маршрут в таблице маршрутизаии для клиентов впн-сервера и мониторить их), для физических либо клиентских впн интерфесов всё проще, но тоже, без экспериментов нельзя понять каие адреса добавлять в маршрут, который будет мониторится, ну и тем более экспериментально настраивать если ещё присутствует балансировка нагрузки на интерфесах + проблемы в зависимости от галочки "Security/Transport Equivalent" (лучше не ставить)

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 30, 2010 22:41 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Yura_kiev писал(а):
danilovav писал(а):
Вы лучше проверьте вашу сеть на предмет наличия VLAN 0

Если можно поясните как это сделать ?

Зазеркалируйте порт DFL на свитче и посмотрите снифером...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 20 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 523


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB