Доброго времени суток!
Прошу помощи в нескольких возникших вопросах
Сначала опишу конфигурацию
DFL-800 fw 2.26.00.06-12649
Интерфейсы
lan
lan_ip 192.168.6.1
lannet 192.168.6.0/24
arp опубликованы
lan lan-dns-wan1 192.168.6.250
lan lan-dns-wan2 192.168.6.251
lan lan-map-237 192.168.6.237
lan lan-map-238 192.168.6.238

wan1
wan1_ip 85.21.118.226
wan1net 85.21.118.224/28
wan1_gw 85.21.118.225
wan1_dns1 195.14.50.1
wan1_dns2 195.14.50.21
wan1_dns3 195.14.50.3
arp опубликованы
wan1 wan1-mailserver 85.21.118.227
wan1 wan1-map-237 85.21.118.237
wan1 wan1-map-238 85.21.118.238

wan2
wan2_ip 89.20.132.162
wan2net 89.20.132.1602/30
wan2_gw 89.20.132.161
wan2_dns1 212.1.224.34
wan2_dns2 212.1.230.111

до подключения второго провайдера все было точно также, но без
wan2
lan lan-dns-wan1 192.168.6.250
lan lan-dns-wan2 192.168.6.251
т.к внутренние dns серверы тупо ходили напрямую к
wan1_dns1 195.14.50.1
wan1_dns2 195.14.50.21
wan1_dns3 195.14.50.3

провайдер на wan1 (лимитированный трафик на достаточно стабильном оптическом канале - по нему теперь должны
по задаче "минимум" работать приоритетные сервисы и осуществляться серфинг по привигилированным хостам)
провайдер на wan2 (безлимит не понятного пока качества - на нем весь серфинг простых пользователей
и задача "максимум" резервирование при падении wan1)
в соответсвии с вышеописанным в
таблице маршрутизации main
у wan2 метрика везде 90
у wan1 метрика везде 100
создал как написано в faq
таблицу маршрутизации alt
у wan1 метрика везде 90
у wan2 метрика везде 100

pbr настроил

с wan1 и его arp были настроены пробросы портов во внутреннюю сеть к www, ftp, mail, ms_pptp и т.п. сервисам
реализация данных пробросов мне далась, хоть и не с первого раза, но всеже получилось понять логику и настроить

но у меня не получилось следующие три варианта проброса:
1 вопрос. dns_relay (с двумя провайдерами)
делал все по известному faq с использованием SLB_SAT
но вот незадача, в обоих случах пакеты выходят в мир исключительно с wan2 и соответственно
либо вообще никуда не идут т.к. имеют неправильный ip, либо провайдер wan1 футболит запросы пришедшие из сети провайдера wan2
IP-правила такие мне видятся
1.SLB_SAT
dns-all
lan(lannet) -> lan(lan-dns-wan1)
SLB_SAT(wan1_dns1, wan1_dns2, wan1_dns3)
2.NAT
dns-all
lan(lannet) -> lan(lan-dns-wan1)
NAT(wan1_ip)

3.SLB_SAT
dns-all
lan(lannet) -> lan(lan-dns-wan2)
SLB_SAT(wan2_dns1, wan2_dns2)
4.NAT
dns-all
lan(lannet) -> lan(lan-dns-wan2)
NAT(wan2_ip)

при таких правилах таботает только lan-dns-wan2
при обращении к lan-dns-wan1 пакеты уходят в непойми куда
пробывал колдовать с pbr - не выходит...

если в правиле 2 поменять NAT(wan1_ip) на NAT(Использовать адрес интерфейса) то при отсутвии pbr - получаем от dns провайдера refuse,
или если пытаюсь наколдовать с pbr, то пакеты все равно ходят неправильно

2 вопрос практически аналогичный
клиент в lannet обращается к arp lan lan-map-237 192.168.6.237 по порту tcp:7070
его необходимо пробросить через wan1(c sourceip wan1_ip) на сервер в Интернет например ext_server(212.212.212.100)
аналогичная связка правил
1.SAT
tcp_7070
lan(lannet) -> lan(lan-map-237)
SAT(ext_server)
2.NAT
tcp_7070
lan(lannet) -> lan(lan-map-237)
NAT(wan1_ip)

упорно пытается выходить через wan2
долго и безуспешно колдовал с pbr...

3 вопрос самый сложный (продолжение второго с усложнением)
клиент находясь в Интернет обращается к arp wan1 wan1-map-237 85.21.118.237 по порту tcp:7070
его необходимо пробросить через wan1(c sourceip wan1_ip) на сервер в Интернет например ext_server(212.212.212.100)
аналогичная связка правил
1.SAT
tcp_7070
wan1(allnets) -> wan1(wan1-map-237)
SAT(ext_server)
2.NAT
tcp_7070
wan1(allnets) -> wan1(wan1-map-237)
NAT(wan1_ip)

упорно пытается выходить через wan2
долго и безуспешно колдовал с pbr...


Ну собственно вопрос один
Как правильно настроить (подозреваю, что все это в PBR, но не могу сообразить как...)

P.S. последние два проброса четко работали на одном провайдере, да и продолжают работать и на двух,
если сделать на маршрутах wan1 метрику меньше чем на wan2

Последний проброс помог реализовать Сергей Васильев в свое время на DFL-1600...

С Уважением...

1. Для начала, ARP proxy вам кажется не нужен вообще.

По поводу DNS серверов. Коли вы используете 2 правила, колдовать не надо. Просто сделайте статические (немониторенные) маршруты на соответствующие интерфейсы.

2-3. Проверяйте, скорее всего у вас правило попадает под PBR.

Вообще, думаю, у вас горе от ума, как говорится. Вы намудрили с PBR то, что делается проще. Показывайте ваши правила (PBR).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

На данный момент таблица PBR выглядит следующим образом:
1. Только с таким правилом работает проброс порта с wan1_ip внутрь localnet с наружи
Forward - alt
Return - main
all_services
any(all-nets) -> core(wan1_ip)
2. Только с таким правилом работает проброс портов с arp wan1-mailserver внутрь localnet с наружи к почтовому серверу
Forward - main
Return - alt
all_services
any(all-nets) -> wan1(wan1-mailserver)
3.
Forward - alt
Return - main
http-all
lan(lannet) -> wan2(список приоритетных серверов, к которым нужно ходить из lannet через wan1 по http-all)
4.
Forward - alt
Return - main
tcp_7070
lan(lannet) -> wan2(ext_server к которому нужно ходить из lannet через wan1 по tcp_7070)
4.
Forward - alt
Return - main
UnlimitedServices(all_icmp, all_services, all_tcpudp)
lan(train01host01-машина в локалке, которой необходимо выходить так) -> wan2(ext_server2 к которому нужно ходить из lannet через wan1 по разным протоколам)

Ну и до кучи таблицы маршрутизации
main
1 dmz dmznet none none 100
2 lan lannet none none 100
3 wan1 wan1net none none 100
4 wan1 all-nets wan1_gw none 100
5 wan2 wan2net none none 90
6 wan2 all-nets wan2_gw none 90
alt
3 wan1 wan1net none none 90
4 wan1 all-nets wan1_gw none 90
5 wan2 wan2net none none 100
6 wan2 all-nets wan2_gw none 100

А в ответ СОВСЕМ тишина...

Тишина потому что вашу проблему осмыслить еще надо, да и основной работе надо время посвящать.

Таблицы маршрутизации. Уберите из alt маршруты до wannet-ов, они там никчему. Какие маршруты вы мониторите?

По поводу доступности портов с обоих wan - делается все проще.
1. Создаете на каждый интерфейс по альтернативной таблице, например alt_wan1. В нее добавляете один маршрут на all-nets на интерфейс, если надо - через шлюз. Мониторить не надо.
2. Создаете правило PBR wan1/all-nets any/all-nets all_services, forward main, return alt_wan1.
Так - и для всех внешних интерфейсов.

С приоритетными серверами я бы сделал проще - маршрутом. Но тогда у вас туда пойдет весь трафик, а не только НТТР. Да и вообще, используйте такой вариант везде где можно.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Извините...

Убрал...

я пока не настраиваю автоматическое переключение по недоступности интерфейса, поэтому мониторинг пока не включал...

С доступностью щас буду пробывать по Вашей методике...

Это Вы так предлагаете делать для проброса порта из интернета с двух wan во внутреннюю сеть
например rdp к серверу в локальной сети за dfl...
Это работает и я понимаю, ка настраивать

проблемы то у меня немного другого плана
у меня не получается сделать релей из внутренней сети через arp на внешний сервер с исходящим интерфейсом wan1, имеющим большую метрику

1.SAT
tcp_7070
lan(lannet) -> lan(lan-map-237)
SAT(ext_server)
2.NAT
tcp_7070
lan(lannet) -> lan(lan-map-237)
NAT(wan1_ip)

вот как для этого например написать PBR, чтобы оно ходило через wan1 наружу...

для начала...для примера

Тут достаточно просто...

1. Альтернативная таблица на нужный интерфейс (alt_wan1)
2. Правило PBR wan2/all-nets core/wan2_ip tcp_7070, forward alt_wan1, return main
3. Правила
SAT wan2/all-nets core/wan2_ip tcp_7070 (ваш_сервер_за_wan1)
NAT wan2/all-nets core/wan2_ip tcp_7070 (wan1_ip)

Думаю, должно заработать. Только проверяйте, чтобы у вас не было перекрывающих правил. В частности, это правило должно быть выше тех, что я писал выше.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Боюсь вызвать Ваш гнев, но всеже
Я Вам про Фому, а Вы в ответ про Ярему...

Наверное для получения ясной картины мне нужно объяснить досконально "природу" необходимости в таких "извращениях"...
Так вот

Есть некое приложение (назовем его к примеру Process.exe), которое запускается на ПК расположенном в локальной сети за DFL. Данное приложение для своей работы по умолчанию обращается к двум серверам (server1 и server2) по одинаковому порту (tcp_7070). На стороне серверов сделана привязка, что по порту tcp_7070 могут обращаться ТОЛЬКО с wan1_ip. Для организации релея ОДНОГО порта на два адреса, на lan интерфейсе опубликованы два arp (lan-map-237 и lan-map-238). Раньше (когда был только один провайдер четырьмя правилами данная проблема решалась просто)
1.SAT
tcp_7070
lan(lannet) -> lan(lan-map-237)
SAT(ext_server)
2.NAT
tcp_7070
lan(lannet) -> lan(lan-map-237)
NAT(wan1_ip)
3.SAT
tcp_7070
lan(lannet) -> lan(lan-map-238)
SAT(ext_server2)
4.NAT
tcp_7070
lan(lannet) -> lan(lan-map-238)
NAT(wan1_ip)

Но теперь после подключения второго провайдера на wan2 и понижения метрики на main маршрутах в пользу wan2 все идет через wan2

Это первая задача (она же аналогична множественным dns_relay с четким исходящим интерфейсом)
ИМЕННО ИЗ ЛОКАЛЬНОЙ СЕТИ

Вторая задача почти аналогична первой, но опишу ее тоже подробно

Есть некое приложение (назовем его к примеру Process.exe), которое запускается на ПК расположенном в где нибудь в сети Интернет. Данное приложение для своей работы по умолчанию обращается к двум серверам (server1 и server2) по одинаковому порту (tcp_7070), но беда в том, что на стороне серверов сделана привязка, что по порту tcp_7070 могут обращаться ТОЛЬКО с wan1_ip. Для организации релея ОДНОГО порта на два адреса, на wan1 интерфейсе опубликованы два arp (wan1-map-237 и wan1-map-238). Раньше (когда был только один провайдер четырьмя правилами данная проблема решалась просто)
1.SAT
tcp_7070
wan1(all-nets) -> wan1(wan1-map-237)
SAT(ext_server1)
2.NAT
tcp_7070
wan1(all-nets) -> wan1(wan1-map-237)
NAT(wan1_ip)
3.SAT
tcp_7070
wan1(all-nets) -> wan1(wan1-map-238)
SAT(ext_server2)
4.NAT
tcp_7070
wan1(all-nets) -> wan1(wan1-map-238)
NAT(wan1_ip)
Но теперь после подключения второго провайдера на wan2 и понижения метрики на main маршрутах в пользу wan2 все идет через wan2

Ну вот вроде написал подробно...

Задачи я понял, спасибо.

Теперь вопрос. Зачем вы используете TCP relay вместо того, чтобы просто обращаться к серверам server1 и server2 напрямую из вашей программы? Пропишите статический приоритетный (с метрикой 0) маршрут через wan1, если надо пустить только порт 7070 - заюзайте PBR.

Второй вопрос - решается именно SAT, но опять же - тем же статическим маршрутом или PBR. Если вы хотите принимать обращения по менее приоритетному wan1 (я так понял, wan2 у вас основной) - сделайте альтернативную таблицу маршрутизации, при необходимости туда добавьте маршруты.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Нет. все перепробывал - не помогает
Придется решать немного кривым образом
все далать без ARP (очень нехотелось), с заменой портов...

из локалки этот метод используется для общности... и для клиентов, которые приходят в локалку по VPN и должны уйти в нужном направлении. Причем на стороне клиента VPN не используется по умолчанию...


не работает...

придется делать по другому...как написал в наячале поста

Но если есть еще идеи - то напишите ПЖЛСТА...

По поводу ARP - вы добавили маршрут нового адреса интерфейса на core?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

опаньки
а вот это место поподробнее можно?

Интерфейс - core
Сеть - ваш дополнительный адрес
Метрику любую, я обычно ставлю 0

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Догнал!!!!
СПАСИБО!!!!
Заработало!!!!
Если интересно кому то могу расписать....