Поддерживаю. Соединение по WIFI лучше сделать не в широковещательном сегменте, а каналом между разными сетями, чтобы туда направлялся только целевой трафик.

Так, кроме прочего, автоматически решится проблема с DHCP. В каждой сети будет свой. А сети соединены по беспроводке.

Самое красивое решение, думаю.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Красиво! +1.
Правда еще надо учитывать ширину канала(-ов).

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

1. не было упомянуто какой тип трафика там бегает
2. каковы обьемы передаваемого трафика по мосту .
3 если так критичны толшины каналов, то можно в туннеле сделать более приоритетным трафик который необходим для бизнеса .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Только это будет нормально работать, если основыми шлюзами в сетях будут DFL. И связывать сети по беспроводке тоже будут DFL, незаметно для клиентов. Например, с использованием VLAN-ов на точках доступа.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ща у топикстартера мозг взорвется

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

а что идеальная схема сети !
dfl 1( свои клиенты) (свой инет) - мост( ipsec) wifi - DFL2 ( свой инет свои клиенты )
сеть прозрачная
мост упал ( не дай конечно ) поднялся резерв по инету (ipsec) .

на мосту IPsec с параметрами All-Net ( можно инет резервировать ) при рабочем мосту

у меня такая схема работает только без моста, оба dfl в сети провайдера и как хочеш так и разруливай трафик там прям не нарадуюсь

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вот моя схема. Мостов только больше и за ними разное кол-во компьютеров (всего в сети около 80).Между 1 и 2 дфл около 1 км (оптика плюс витая пара). Свичи простые, все компьютеры видны в сетевом окружеинии.


Как настроить этот ipsec между дфлами ?

Я уже дмз порт освободил, все идет через ван. Может это пригодится. Второй dhcp наверное не подходит, так как на первом дфл настроено резервирование. Между дфлами нет wifi (оптика плюс витая пара). Интернет 10 мб/c.

при таком раскладе точно держать курс на туннель между двумя DFL

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Оба DFL могут раздавать адреса из разных диапазонов увеличенной подсети. Тогда будет общая сеть для обзора.

И, да, туннель между DFL-ями для резервирования инета.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

а как тогда получат устройства те же зарезервированные адреса от dhcp (настроено на 1 дфл)? На втором будут же другие адреса (хотя из того же диапазона). Подскажите как создать туннель в моем случае.

назначать статически или пытаться запрещать связь этих компов с нежелательным DFL через запрет MAC или иным образом.

Туннель между DFL внутри локальной сети. Абсолютно на ваше усмторение: VLAN, GRE, pptp, l2tp и т.п.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Значит те компьютеры которые схватят адрес от первого дфл будут выходить в интернет через него, а те которые от второго -через второй. Все компьютеры имеют адреса из одной подсети и будут видеть друг друга в сетевом окружении. Зачем тогда нужен туннель между DFL внутри локальной сети?

Если можно дайте пожалйста ссылку на мануал по созданию этого канала в локальной сети для DFL.

Только для организации резервного канала интернет. Если упал один из провайдеров, трафик соответствующего DFL будет идти через провайдера другого DFL. Если не надо - не делайте.

Я бы лично сделал обязательно. Автоматический резевр - это всегда удобно. Провайдер рухнул, а админ спит спокойно.

Насколько я понимаю, никакой особой безопасности не надо. В этом случае самый эффективный путь - VLAN или GRE туннель. С ними все просто. Инструкций нет, но есть руководство. В том числе на русском языке.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Так как управляемых свичей нет, я так поигимаю, что надо порт дмз перового и второго дфл воткнуть в локальную сеть и канал будет между портами дмз? Портам дмз назначить статические адреса из локальной сети?