взываю к великим и могучим!
поможите умом, не догоняю
факи (и даже некоторые места главы routing, перечтал, некоторое время назад изучал ее всю, не все правда понял) прочел внимательно, вторые сутки пытаюсь выдавить результат из начитанного - никак

в общем есть dfl-800 (2.26.00.06), к нему прирастают два интернета:
wan1 - PPPoE, безлим, с ограниченной скоростью
wan2 - PPPoE, трафикотарифный, скоростной

основной буде wan1, его завел мастером, через него будет весь инет
wan2 - для обеспечение ipsec канала, с dfl-210

wan2 PPPoE завел ручками, метрику поставил повыше - 95
набор правила налогичный lan-wan1 создал (хотя для ipsec это никчему)

создал альтернативную таблицу с маршрутом wan2/all-nets, ord - default
правило маршрутизации, где поставил альт таблицу в оба поля, и в прямую и в обратную маршрутизацию, сервис - all-icmp, источник - wan2, назначение - core
после чего wan2 ip стал даже пинговаться извне (эт я пишу чтоб показать присутствие начальных знаний)

и ipsec по wan1 поднялся тоже без проблем, но вот перекинуть его на wan2 оставив за основной маршрут wan1 не получается

делал правило маршрутизации на альт таблицу, с разными источниками и назначениями, по концовке объединил все лан и ван (физические и PPPoE, и core тоже) в группу и ее подставлял в источник/назначение
сервис в правиле - ipsec-suite

и галку снимал в расширенных настройках ipsec - "Передать трафик IKE & IPsec (ESP/AH), отправленный на шлюз безопасности, непосредственно на IPsec engine без проверки соответствия правилам"

в итоге канал не подымается, в журнале (dfl-800) запись:
2010-05-14
20:28:39 Предупреждение RULE
6000051 Default_Rule UDP wan1
yyy.yy.yy.yy
11.111.11.11 500
500 ruleset_drop_packet
drop
ipdatalen=272 udptotlen=272

причем 11.111.11.11 - это wan1, которого уже нет в настройках дфл-210 на другом конце, там соответственно ip wan2, десять раз уже проверил

в логах дфл-210 на другом конце:
2010-05-13
21:19:30 Предупреждение IPSEC
1802022
ike_sa_failed
no_ike_sa
statusmsg="Timeout" local_peer="yyy.yy.yy.yy ID No Id" remote_peer="11.111.11.11 ID No Id" initiator_spi="ESP=0x8df07e2d, AH=0x0aa6e3f4, IPComp=0xd6c7a1fa"

т.е. мои правила не цепляют начало авторизации ike, она идет по маршрутам по умолчанию (по main таблице), или она это делает до правил, или (что скорей всего) я напутал, как ее изловить, не могу придумать, помогите плиз
не охота "переворачивать 800-й", т.е. основным делать wan2, а весь трафик инетовский пускать через pbr, на wan2

1) Коли у вас для IPsec wan2, то маршрут wan2 с метрикой 95 не надо. Вместо него сделайте маршрут
wan2_pppoe remote_dfl_210 1

2) Правило PBR для приема подключений по wan2pppoe должно быть вида
wan2_pppoe/all-nets core/all-nets, forward main, return alt_wan2

3) Коли вы клиентов через wan2 выпускать не хотите, то второй пары правил lan_to_wan1 не надо

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

урра! заработало!
для подключения ipsec по резервному wan2, надо было прописать маршрут wan2_pppoe remote_dfl_210 1, см. п1 выше
а чуть умным не стал, а такая простая мысль не дошла
причем сначала, даже после прописывания маршрута не работало, ругалась на отсутствие ipsec_rule, какое-такое руле, я так и не понял, потом уже на дфл210, новый ipseс тунель завел с теми же параметрами, а старый отключил, и тогда только заработало

в общем - danilovav акбар:)

щас вот добавочная задача нарисовалась
wan2 хотят пользовать еще и для интернета, некоторые привелигированные сервисы там - банк клиент, почта
вот, учитывая что локальная сеть одна, (адресация идет через dhcp на dfl)
как сервисы направить по другому интерфейсу - это разумею
а как пустить одних пользователей по ван1, а других из этой же сети по ван2, не могу додуматься

и такой еще вопрос, PipeRule для ipsec (для гарантии ширины канала для туннеля ipsec) как должно выглядеть, сервис какой писать, интерфейсы?

По дополнительному выпусканию сервисов/юзеров/серверов через wan2

1) Interfaces > Interface groups
Добавьте группу wans = wan1 + wan2

2) Rules > IP rules > lan_to_wan1
Замените wan1 на wans

3) Ранее я писал про таблицу маршрутизации alt_wan2

4) Для того, чтобы определенный трафик пошел через другой интерфейс, его надо отправить в другую таблицу маршрутизации (в нашем случае - как раз alt_wan2). Параметрами source/destination/service вы можете выбирать пакеты по критериям клиента/назначения/службы, далее в правиле укажите forward routing table = alt_wan2, return = main
В случае выпуска определенных пользователей (например, группу clients_thru_wan2) через wan2 будет такой вид: lan/clients_thru_wan2 wans/all-nets all_services, forward alt_wan2, return main

Гарантировать ширину канала с провайдером получится плохо т.к. на вашей стороне приоритет вы сделаете, а на стороне провайдера все останется так как и было, что сведет ваши усилия на нет. Но вообще - сервис ipsec-suite.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

это чтоб правила лишний раз не писать?


clients_thru_wan2 - это группа локальных ip адресов?

Да. Это упрощенная модель, но вполне жизнеспособная т.к. на wan2 пакеты, не разрешенные в policy based routes все равно не попадут.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

спасибо большое, все оказывается просто:)
там пока локальная сеть не функционирует (еще не переехали), но чуть позже, обязательно настрою

насчет того что на стороне провайдера будет резаться канал, не думаю, провайдер хороший, пинг до днс провайдера - 1 мс
между удаленными сетями (один провайдер в разных концах города) - 40 мс (я сам не уверен - много это или нормально)
терминалка должна вроде работать без затыков

Канал у провайдера резаться не будет, будет отсутствие приоретизации трафика, который вы хотите приоретизировать

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

погодьте-погодьте, как же так
в примере (в факе) настрайвается и апстрим, и даунстрим, не понимаю про провайдера
и еще вопрос, как оценить в dfl-800/210 занятость канала по сервисам? т.е. какой сервис, сколько занимает и общую загрузку и потребность в пропускной способности?

О шейпинге на русском

http://forum.dlink.ru/viewtopic.php?t=116270

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

понял, типа провайдер будет резать теги приоритета, ну это понятно
я то хочу гарантировать ширину впн канала в первую очередь, вроде как надо просто указать нужный тип трафика (у меня рдп), и источник/назначение vpn/lan и наоборот и все, ну и учесть прирост при шифровании, я так понимаю?

То, что провайдер будет резать DSCP метки - это просто 110%

Вопрос еще и в том, что исходящие пакеты вы (ваш DFL) выпустите приоритетно, а обратно от провайдера они уже пойдут на общих основаниях. Поэтому, шейпинг исходящего интернет канала имеет смысл, когда вам надо ограничить полосу пропускания или наоборот, гарантировать ее в моменты пиковой нагрузки

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

ага, понял, спасибо ишшо раз, за разум
вот еще вопрос по поводу оценки занятости канала, можно ли вообще?

Средствами DFL, разве что, настроить pipes и смотреть их загруженность (командой pipe в консоли, если не ошибаюсь). Опосредованно (по статистике) можно посмотреть абсолютные значения по протоколам.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc