Возник еще один вопрос - как настроить на DFL-800 PPTP сервер, чтобы подключаться к нему могли со всех 3 провайдеров. В настройках по инструкции сервер висит на WAN1 и WAN1_IP, и если заменить WAN1 на группу из 3 портов возможно, то как быть с IP?

Также указать группой или прописать all-nets.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

В выпадающем меню Server IP нельзя выбрать all-nets или группы и диапазоны адресов

Да, действительно. Ну тогда три сервера по отдельности на каждый интерфейс. wan1-wan1_ip, wan2-wan2_ip и т.д.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

А как сделать, чтобы при 3 серверах у клиентов было единое адресное пространство 192.168.104.0/24

В IPpools каждого сервера прописать диапазон, лежащий внутри 192.168.104.0/24. Скажем, для сервера1 - 192.168.104.1-192.168.104.60, для сервера2 - 192.168.104.61-192.168.104.120, для сервера3 - 192.168.104.121-192.168.104.200.
Я не пробовал схему с использованием одного диапазона на разные серверы, возможно и так тоже будет работать корректно. Другими словами, прописать везде 192.168.104.0/24. Посему пока дал решение, которое будет гарантированно работать нормально.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Дело в том, что мне надо, чтобы у VPN клиента все время был один и тот же IP, привязанный к логину.

В настройках логина раздел Per-user PPTP/L2TP IP Configuration, поле Static Client IP Address. Там указать IP, который будет присваиваться конкретному логину.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

А как бороться с этой шляпой?
SAT + Allow есть, маршруты есть, даже 2 таблицы маршрутизации создал и PBR, по аналогии с объединением 3 провайдеров, но с сети 80.70.x.x все запросы блочатся:



И так же:

У Вас непростая схема сети, которая требует долгого разбирательства, сверки таблиц, анализа правил, тщательной проверки и т.д. Я вряд ли подскажу, в чем причина....

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

_________________
www.vpiter.com - веб-камеры в Санкт-Петербурге.

Уже даже провайдер обеспокоился неработоспособностью сайта для пользователей сети 80.70.0.0/16

_________________
www.vpiter.com - веб-камеры в Санкт-Петербурге.

Возможно я что-то пропустил, но хочу уточнить...

У вас не работает (провайдер) 80.70.0.0/16 => DFL-800 80.70.231.68 (192.168.0.7) => 192.168.0.8 сервер ? То есть, через какой DFL идет запрос?

Вообще говоря, если там SAT+Allow, работать и не будет - шлюз другой. Поменяйте на NAT, все заработает, ну или пропишите на сервере маршрут. Ну или на 0.11 пропишите маршрут и сделайте правило fwd lan/lan.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за отзывчивость. Попробую пояснить. К сожалению не знаю как можно было бы представить полную картину происходящего, т.к. настройки слишком рассредоточены по закладкам усторойства.

Ситуация следующая: Сервер и клиент пользуются шлюзом 192.168.0.11, на котором настроена балансировка и для исходящих запросов используется любой канал, для входящих соединений на 80 порт заведены соответстующие PBR. Для клиента и сервера доступно в любых сочетаниях использование всех 3 линий, в т.ч. спокойно открываются ресурсы на адресах 80.70.0.0/16.

Проблемы начинаются, когда 80.70.0.0/16 обращаются на 80 порт любого из 3 внешних IP. Пакеты дропаются и в логе пишется Default_Access_Rule. Если обращаться не на внешний IP, а на 10.5.147.108, то пакеты тоже дропаются, но текст меняется на Default_Rule.

Стоит только отключить маршрутизацию на 80.70.0.0/16 через wan1phys, как все начинает исправно функционировать через wan1pptp, но с тормозами, ибо в 10 раз меньше скорость канала.

Пробовал уже и PBR, по аналогии с настройкой на DFL с адресом 192.168.0.11, но ничего не получается.

Вот снапшот текущих настроек на 192.168.0.7 и ниже на 192.168.0.11




Честно говоря я не понимаю про другой шлюз. Сервер всегда использует шлюз 0.11 и PBR со всеми другими адресами нормально раздупляется. И с LAN/LAN тоже не понял, обращения идут только на внешние IP, а специально для локального клиента разрешены SAT+NAT на группе интерфейсов DMZ, LAN.

_________________
www.vpiter.com - веб-камеры в Санкт-Петербурге.

Значит, для сети 80.70.0.0/16 вам точно также надо настроить PBR, как, например, проброс портов на интерфейсах дополнительных ISP.

По аналогии с
viewtopic.php?t=65359&start=14

Проблемы у вас из-за того, что когда маршрут на эту сеть прописан, DFL пытается отвечать на запросы именно по указанному маршруту. Чтобы было иначе, надо настроить PBR.

Схема навороченная и складывается ощущение, что избыточная. Можете прокомментировать подробно "что для чего и почему"?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.