Всем привет! Пытаюсь подключить к DFL-800 два разных провайдера. По сути это Cisco PIX 501 и Zyxel ZyWALL 2WG, из которых приходят провода к DFL-800. У циски сетка 192.168.16.0/24 IP-адрес 192.168.16.1, у Zyxel сеть 192.168.14.0/24 IP-адрес 192.168.14.1. В качестве основного выбран 16.1, т.е. циска. Сделал все следующим образом: прописал маршруты:

1 Маршрут wan1 wan1net 100 Yes
2 Маршрут wan1 all-nets wan1_gw 100 Yes
3 Маршрут wan2 wan2net 200 No
4 Маршрут wan2 all-nets wan2_gw 200 No

YES - значит, что ведется мониторинг маршрута.
Локальная сеть 15.0/24.
Все отлично работает через WAN1, но стоит мне провод отключить, связи с внешним миром нет. Есть одна проблема: DNS сервера находятся в 16-й подсетке, т.е. у WAN1, но я пробовал пробиваться через IP-адреса при выключенном WAN1 и ничего не получалось.

Так вот, есть вопросы:

1). Правильно ли я настроил резервирование?
2). Что делать с DNS-серверами (пока в голову приходит только засунуть их в DMZ)?
3). Каким образом можно контролировать, что маршрут стал активным (в логах пусто ) и сколько времени занимает у DFL-800 переход на новый маршрут?

Заранее благодарен!

Проблему с резервированием решил, мой косяк был. Просто надо было на ZyxeL правило дописать для новой подсетки. Кому интересно, решение проблемы с резервированием нашел здесь: http://dlink.ru/ru/faq/85/576.html. А вот вопрос с ДНС остался открытым.

Прошу прощения за флуд, мысли не сразу родились Вдогонку к вопросу о DNS. Если рассматривать как вариант перенос внутренних DNS-серверов в DMZ-зону, то, что делать, если эти DNS живут в Active Directory? С DNS-запросами все понятно, достаточно прописать новые адрес DNS в DFL-800 и все запросы пойдут к ним, но как быть с остальным доменным трафиком?

На DFL-800 все делается проще - настройте. Если у вас есть сервера и за 16, и за 14 сетями (т.е. доступные с разных каналов), то настройте DNS relay (смотрите в FAQ), но не SAT, а SAT SLB, укажите туда все сервера и включите их мониторинг.

А мониторить маршрут на wan1net не надо кстати. И на wan2net тоже можно сделать с метрикой 100 (выше надо только для wan2/all-nets)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо большое за совет. По поводу мониторинга делал по инструкции в FAQ, логика такова: Для отслеживания статуса основного соединения, надо создать два «мониторящихся» маршрута, первый wan1 - wan1net, второй wan1 — all-nets — wan1_gw и удалить существующие маршруты этого интерфейса. В первом маршруте будем отслеживать только наличие физического соединения (link`a), во втором - наличие физического соединения и шлюза. На счет AD я поторопился, сделаю проще, оставлю сервера в локальной подсетке 15.0/24, именно так и должно быть.
А вот интересен еще один вопрос. У меня за одним из шлюзов стоит прокси (центральный офис его админит), в случае выхода из строя основного канала Интеренет всем пользователям придется изменять настройки браузера. Может быть кто-нибудь решал подобную задачу? Заранее благодарен.

Есть IE Administration Kit. Но вряд-ли у вас получится делать это автоматически.

Ну и Google вам в помощь.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Прокси - это полностью клиентская головная боль. Как вариант, можете поставить ваш сквид и на нем уже рулить вышестоящие сервера на основании мониторинга. Но схема не такая простая получится.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Понятненько, спасибо. А как быть с сервером 1С, если он находится в DMZ? Каким образом можно обеспечить нахождение данного сервера клиентами из LAN, ведь, если не ошибаюсь, 1С по умолчанию будет искать данный сервер в подсети той машины, на которой запущена?

Вопрос немного не в тему.

В настройках 1C (cfg файл) для нахождения ключа надо указать 3 вещи:
Адрес сервера
Запретить бродкаст
Указать TCP протокол

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, действительно, вопрос не в тему, но я не хотел городить новых тем. Спасибо большое за ответ, но это не совсем то, что я спрашивал, меня интересует поиск не ключа защиты, а сервера 1С, как здесь быть?

Тут вообще проблем быть не должно. Если нормально настроена маршрутизация и разрешающие правила.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Доброго времени суток, у меня такой вопрос (пока теоретический, т.к. только схему разрабатываем). Допустим успешно настроены подключения к 2-м провайдерам. Через основного доступен извне терминальный сервер по RDP. Возможно ли прописать аналогичный доступ со второго провайдера, и в случае падения основного канала, подключатся к терминалу по айпишнику из резервного?

Да, конечно. Вы можете настроить одновременный доступ по обоим адресам до сервера, можете сделать прозрачное для клиентов подключение - прикрутить DynDNS и дать клиентам для подключения FQDN (DNS) имя, которое будет автоматом обновляться - в случае падения основного канала, обновится на резервный.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

http://forum.dlink.ru/viewtopic.php?t=65359&start=14

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.