Приветствую всех заглянувших !

Образовалась проблема следующего плана:
Имеем DFL-800, которому в WAN1 и WAN2 подходят 2 провайдера. Необходимо каким то образом образовать в LAN сегменте 2 шлюза, один из которых прокидывает трафик на WAN1, а второй на WAN2.
При этом VPN тунели должны быть доступны для обеих шлюзов.
Попытка решить проблему "влоб" заданием на dmz адреса из подсети lan и подключение его к lan закончилось невыходом устройства на связь и откатом изменений в конфигурации через 60 секунд.

Проблему неответа устройства решил снятием галки "Автоматически добавить маршрут по умолчаниию для данного интерфейса, используя основной шлюз" на интерфейсе dmz. Однако интерфейс на ping не отвечает, разрешающее правило есть.

ping_fw Allow any all-nets core all-nets all_icmp

Вам обязательно 2 шлюза делать или достаточно определенных клиентов через WAN1 пропускать, а остальных - через WAN2?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В принципе не обязательно два отдельных, главное чтобы клиенты с адресами 192.168.0.5 по 192.168.0.100 ходили в интернет через WAN1 а остальные через WAN2

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM
И тут не обошлось без шаманства. Благодарю за совет.

И всётаки, возможно ли сделать 2 отдельных шлюза ?
Мне так будет удобнее, пользователи одного домена получат один основной шлюз, другого - другой шлюз, а так придётся ковыряться с правилами маршрутизации запихивая туда адреса компьютеров вручную.

Настройте DMZ как LAN2, в том числе и с другой подсетью - будет физическое разделение.
А два "шлюзовых" адреса сделать из подсети - сложно, да и бесполезно.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Другую подсеть сделать не представляется возможным, вот и пробуем решить задачу без корректировки начальных условий

Тогда - именно PBR. IP адрес, который может быть шлюзом, должен быть основным на интерфейсе, т.е. только один.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сделал как советовали через PBR. В интернет народ попадает нормально. Возникла проблема следующего плана.
С WAN1 был по мануалу настроен проброс порта 21 на фтп сервер внутри локалки, теперь стала задача перенести его на WAN2.
Взял имеющиеся правила для wan1 и исправил на wan2, и получил облом,с. Не работает

По логам
0000-00-00
00:00:00 Предупреждение RULE
6000051 Default_Access_Rule TCP wan2
81.26.xxx.xxx
62.183.xx.xx 19708
21 ruleset_drop_packet
drop

пакет отбрасывается. Ума не приложу почему. В правилах необходимые разрешения есть.

FTP SAT any all-nets core wan2_ip ftp-passthrough
FTP_Allow Allow any all-nets core wan2_ip ftp-passthrough
allow_Server NAT lan FTP_Server wan2 all-nets all_services

1) В правилах лучше использовать сервис ftp-inbound, достаточно только SAT+Allow

2) Routing > Routing tables
Добавьте новую таблицу маршрутизации (например, alt_wan2)
Добавьте в нее маршрут wan2 all-nets (gw если надо) 100

3) Routing > Routing rules
Добавьте правило wan2/all-nets core/all-nets, forward main, return alt_wan2

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Александр, благодарю за помощь!

В моём случае достаточно было добавить правило маршрутизации из wan2 к ядру.
for_ftp_core wan2 all-nets core all-nets all_services
forward main, return alt_wan2

таблица alt_wan2 была создана ранее.

И опять новый вопрос.
Как заставить устройство поднимать тунели через wan2 ?

На втором конце поменял ip с wan1 на wan2, тунель не поднимается

Пропишите статический маршрут до remote endpoint через wan2, PBR не действуют на core

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

это сделать в таблице alt_wan2 ?