faq обучение настройка
Текущее время: Вт июл 08, 2025 21:42

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 23 ]  На страницу Пред.  1, 2
Автор Сообщение
СообщениеДобавлено: Пт апр 03, 2015 09:04 
Не в сети

Зарегистрирован: Ср ноя 28, 2012 14:02
Сообщений: 17
Vladimir22 спасибо Вам огромное!!! побольше бы таких куркулей :)
вот еще в догонку... http://www.dlink.ru/ru/faq/85/575.html


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 03, 2015 15:15 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
ну эта схема не нова ....
цель то достичь удаленной точки .
а тут просто туннель WAN1 -WAN1
WAN2-WAN2
а если на одном умрет WAN1 а на втором WAN2 ?! все туннелей нет ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб апр 04, 2015 14:37 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
На самом деле схема WAN1--WAN1, WAN2--WAN2 - наилучшее, что можно сделать на DFL для резервирования. Защита от любого одиночного отказа ISP и от 1/3 двойных. Если бы было возможны еще туннели "накрест", то было бы 2/3 двойных (от отказа WAN1 и WAN2 с одной стороны всё равно не защитишься). Я помню, Vladimir22, Вы мне еще года 2 назад обещали найти способ сделать туннели накрест, но увы...
Схема с одним перескакивающим туннелем -- это для случая, когда с одной стороны только один ISP. При его падении всё накрывается (т. е. надежность существенно ниже). При двух же провайдерах с каждой стороны эта схема не работает, не пытайтесь ее расширить на этот случай.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб апр 04, 2015 16:24 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
я пробовал делать туннели на основе сертификатов когда в одном туннеле можно указать в RemoteEndPoint на основе PSK а второй на основе сертификата . но руки не дошли скрестить все это воедино

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн апр 06, 2015 10:01 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
alex63 писал(а):
На самом деле схема WAN1--WAN1, WAN2--WAN2 - наилучшее, что можно сделать на DFL для резервирования. Защита от любого одиночного отказа ISP и от 1/3 двойных. Если бы было возможны еще туннели "накрест", то было бы 2/3 двойных (от отказа WAN1 и WAN2 с одной стороны всё равно не защитишься). Я помню, Vladimir22, Вы мне еще года 2 назад обещали найти способ сделать туннели накрест, но увы...
Схема с одним перескакивающим туннелем -- это для случая, когда с одной стороны только один ISP. При его падении всё накрывается (т. е. надежность существенно ниже). При двух же провайдерах с каждой стороны эта схема не работает, не пытайтесь ее расширить на этот случай.

почитайте выложенную Вовой инструкцию. Там все решается мониторингом маршрутов. Выглядит несложно и логично.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн апр 06, 2015 16:20 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Неужели всё-таки получилось? В свое время много возился с резервированием IPSEC, сам сделал схему WAN1-WAN1, WAN2-WAN2 (мурзилки еще не было, по крайней мере, я ее не видел), но крест-накрест никак не получалось, в частности и потому, что IPSEC начисто игнорировал PBR, ходил только по main. Правда, это была еще 2.27, позднее не пробовал.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 01, 2015 15:53 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
насчет DNS Relay при двух провайдерах
сегодня решил сделать, раньше в мелких конторах - прописывал 4 днски или гугловскую, в крупных - поднимал свой днс сервер
а тут решил заморочиться, но у меня остались вопросы

значит исходные данные:
dfl-860e
два провайдера
соответственно 4 днс

что надо:
перенаправлять днс запросы приходящие на lan_ip dfl

особенности конструкции:
в примере для одного провайдера с одним днс сервером - используется SAT правило, а если у нас 2 нормальных провайдера, то соответственно присутствуют 4 днс сервера, надо использовать slb_sat
также надо объяснить железке - что опрашивать определенные dns надо через определенные wan порты

последовательность предпринятых действий:
Вложение:
wans_gr.png
wans_gr.png [ 23.18 KiB | Просмотров: 2701 ]
объединяем днс сервера в две группы - для каждого wan
Вложение:
tables.png
tables.png [ 21.47 KiB | Просмотров: 2701 ]
создаем две альтернативные таблицы маршрутизации, в которых по одному маршруту (wan1, wan2) на all_nets
Вложение:
pbr_rule.png
pbr_rule.png [ 24.87 KiB | Просмотров: 2701 ]
создаем два pbr rule, где в качестве интерфейса назначения - группа внешних интерфейсов, а сеть назначения - группа днс серверов для этого интерфейса

таким образом мы объясняем железке, что к dns1(2)_wan1 можно обращаться только через wan1


Последний раз редактировалось Shkiper Вт дек 01, 2015 16:24, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 01, 2015 16:19 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
Вложение:
nat_sat.png
nat_sat.png [ 24.65 KiB | Просмотров: 2701 ]
создаем nat, sat правила

Вложение:
1.png
1.png [ 20.54 KiB | Просмотров: 2701 ]
причем slb_sat

Вложение:
2.png
2.png [ 35.04 KiB | Просмотров: 2701 ]
на вкладке slb добавляем в selected все днс которые есть (dns_G 'это - 8.8.8.8)

хорошо бы еще включить SLB Monitors, но непонятно как?
потому что любые днски прекрасно пингуются с любого интерфейса, но будут отвечать на запросы только со своего вана (кроме 8888 конечно)
можно нарисовать pbr для пинга, аналогично pbr для днс, но тогда в этих pbr в качестве форвард таблиц - будут альтернативные таблицы (для пинга через wan1 одна, а для wan2 другая), а для SLB Monitors выбрать можно только одну

и вообще я не уверен, что я правильно сделал:)
вроде работает ...

проверял пбры - сделав такие же для пингов, отключая по очереди интерфейсы и пингуя днски
и давая nslookup на lan_ip и на все днс


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 23 ]  На страницу Пред.  1, 2

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 252


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB