faq обучение настройка
Текущее время: Вт июл 29, 2025 18:53

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
СообщениеДобавлено: Вт ноя 10, 2009 12:28 
Не в сети

Зарегистрирован: Вт ноя 10, 2009 11:56
Сообщений: 4
Откуда: Москва
Доброго времени суток.
есть два DFL-1600 (Firmware Version: 2.26.00.06-12652 Sep 23 2009). Они подключены к ЛВС и каждый к своему провайдеру. Есть удаленный филиал в котором стоит DFL-210. Из филиала настроены 2 VPN IPSEC к каждому 1600, естественно с разными метриками. В ЛВС один 1600 является шлюзом по-умолчанию. Когда из филиала трафик идет по тому туннелю, который установлен к шлюзу-по-умолчанию все работает отлично. Когда обращения идут по другому туннелю, то ответ естественно уходит на шлюз-по-умолчанию ... и там гаснет. На нем сделал статическую запись, указывающую на филиальскую сеть с меньшей метрикой, чем у VPN, создал правило разрешающее любой трафик принимать и передавать через интерфейс ЛВС.
Как я не игрался с метриками, правилами - ничего не помогает. трафик "тухнет" на шлюзе-по-умолчанию.
Подскажите, что нужно сделать, чтобы шлюз-по-умолчанию начал передавать трафик второму шлюзу, с которого приходят обращения.

Михаил


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 10, 2009 15:59 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Вы все равно толком топологию не описали. Приходится додумывать, что у вас из ЛВС как минимум 2 шлюза в разные сети.


создать правило FwdFast, чтобы он пересылал пакеты на нужный шлюз. Этого хватит

Но было бы неплохо раздавать рабочим местам нужный маршут по DHCP.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 10, 2009 17:46 
Не в сети

Зарегистрирован: Вт ноя 10, 2009 11:56
Сообщений: 4
Откуда: Москва
YuriAM писал(а):
Вы все равно толком топологию не описали. Приходится додумывать, что у вас из ЛВС как минимум 2 шлюза в разные сети.


создать правило FwdFast, чтобы он пересылал пакеты на нужный шлюз. Этого хватит

Но было бы неплохо раздавать рабочим местам нужный маршут по DHCP.


За FwdFast спасибо - я allow делал. Буду пробовать, отпишу о результате ...

А пользователи, что в Центральной сети, что в удаленной все настройки с DHCP получают.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 11, 2009 16:56 
Не в сети

Зарегистрирован: Вт ноя 10, 2009 11:56
Сообщений: 4
Откуда: Москва
Попробовал в правиле ALLOW заменить на ForwardFast вообще все сообщение пропали. При ALLOW нужный мне трафик получает no_new_conn_for_this_packet
drop.

правило такое
allow
lan-int
lan-net
lan-int
any

Согласно статической маршрутной записи трафик должен уйти обратно через ЛАНовский интерфейс на другой маршрутизатор, с которого этот трафик и вышел.
Маршрутная запись такая
lan-int
192.168.254.48/28 - сеть филиала
192.168.255.251 - lan-int второго маршрутизатора, из которого трафик выходит
80 - метрика

Что у меня не так ?

Можно ли приложить файл со схемой чтобы понятней ситуация была ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 11, 2009 18:50 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
mmalukov писал(а):
Можно ли приложить файл со схемой чтобы понятней ситуация была ?
Выложите, например, через ipicture.ru

Указывайте в правиле нужную сеть а не all-nets.
И попробуйте расположить ваше правило выше других

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 12, 2009 19:54 
Не в сети

Зарегистрирован: Вт ноя 10, 2009 11:56
Сообщений: 4
Откуда: Москва
Вот схема. Прошу прощения, художник я от слова худа. Надеюсь все понятно ...
Изображение

Поднял правило FAST FORWARD на первое место в списке и в явном виде сеть прописал.
Похоже GATE-3 стал трафик пропускать в логах это видно.

2009-11-12
19:14:17 Info RULE
6000003 gate3-gate4 ICMP reestr
192.168.255.161
192.168.254.49
ruleset_fwdfast
fwdfast
ipdatalen=40 icmptype=ECHO_REPLY echoid=48093 echoseq=56579

А вот на GATE-4 я его найти не могу. Как логи не вертел. То есть теперь трафик отшибает тот маршрутизатор, с которого он в локальную сеть и вышел.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 116


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB