Здравствуйте!

Есть DFL-210, конфигурация сети следующая:

WAN интерфейс, статический белый IP, основной интернет канал.
DMZ интерфейс, используется как резервный интернет канал и VPN, на интерфейсе два VLAN, один-резерв интернет, второй-VPN.

По инструкции с сайта D-Link настроено резервирование интернет-подключения, в случае падения первого канала работает второй, тут все ок и вопросов как бы и нет.

Проблема №1, на девайсе настроен PPTP сервер, вернее даже два, по одному на каждый внешний интерфейс. Через первый интерфейс все работает отлично, вопросов нет.
Через второй, где VLANы, соединяется, пинги во внутреннюю сеть идут, даже обмен траффиком идет с внутренним NAS, но на RDP сервера терминалов зайти не дает, начинает подключаться, настройка параметров подключения и выкидывает.

Правила файлволла и маршруты для обоих PPTP интерфейсов настроены идентично, разница лишь в используемом внешнем интерфейсе, даже пул IP одинаковый был, сделал разный пул в пределах одной подсети-не помогло.

IP конфигурация:

WAN1:188.168.31.xxx
Mask: 255.255.255.252
Gate1:188.168.31.xxx

WAN2:85.234.124.xxx
Mask: 255.255.255.252

LAN:192.168.0.1/24

VPN_POOL_1: 192.168.0.241-192.168.0.250 (используется при PPTP подключении извне через интерфейс WAN1)
VPN_POOL_2: 192.168.0.230-192.168.0.240 (используется при PPTP подключении извне через интерфейс WAN2)

Присутствуют правила прямого обмена траффиком между интерфейсами PPTP и LAN, траффик то ходит, но видимо что-то не так, раз RDP не цепляется.
По SMB пробовал соединяться с IP сервера терминалов, через \\ - все работает, файлы скачиваются/заливаются.
Через основной канал проблем нет, через запасной вот такая беда.
Ранее стояла MS Windows и проблем тоже не было.

Удаленное администрирование по HTTPS временно открыл для всех интерфейсов, и вот интересно, через WAN1 снова все ОК, через WAN2 проходит проверку сертификата и выдает невозможно подключиться. Есть мнение что приняв запрос подключиться на WAN2, роутер дает ответ через дефолтный маршрут WAN1. Хотя в правилах маршрутизации я выставил, что отвечать через тот интерфейс, куда пришел пакет. Может что-то не так сделал?

Еще вопрос по Веб Фильтру, активировал его на 60 дней тестово, пишет что лицензия установлена, а фильтр не работает.
Забанил якобы вконтакте, он все равно открывается.

Доп вопрос, поддерживает ли роутер авторизацию внутренних пользователей для доступа в интернет, так чтобы база пользователей и пароли бралась из Active Directory ?

При попытке подключения со второго РРТР сервера по RDP, посмотрите Status > Connections, куда идет подключение и что с ним вообще.
Пулы РРТР на обоих серверах у вас включены в lannet (т.е., работает ARP proxy) или отдельные? Во втором случае, одинаковые или разные?

Авторизацию AD умеет DFL, смотрите мануал

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Оба PPTP пула входят в lannet, ARP прокси работает.

Да, и не получается подключиться по HTTPS на WAN2, хотя в настройках это разрешено одинаково, как для WAN1, так и для WAN2.

Откуда не получается подключиться?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Извне через WAN2 интерфейс не получается подключиться по HTTPS, выходит окно что сертификат недействителен, жму подключиться и скидывает, невозможно отобразить страницу.
Тоже самое через WAN1-пожалуйста. И проблемы с PPTP тоже через WAN2.

Покажите альтернативную таблицу маршрутизации для wan2 и правило PBR, которым у вас обрабатываются входящие соединения оттуда

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Таблица маршрутов одна, с двумя вообще ничего не работало.
Включу дурачка: а обязательна вторая таблица маршрутов?

Может мне кто по веб фильтру кто че скажет или хотя бы мануал по настройке кинет?

Обязательно. Иначе одновременно у вас доступен будет только один канал т.к. на пришедшие на wan2 пакеты устройство будет отвечать в соответствии с маршрутом - через wan1.

1) Routing > Routing tables
Добавьте таблицу alt_wan2, ordering = only, remove interface addresses = no
Добавьте в нее маршрут wan2 all-nets wan2_gw 100

2) Routing > Routing rules
Добавьте правило
wan2/all-nets any/all-nets, forward main, return alt_wan2

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сделал 1 в 1 как вы и написали, не помогло, все также и осталось.

Вы пробуете, надеюсь, не изнутри сети?
Показывайте что настроили, в том числе и Status > Routes... На момент подключения также покажите Status > Connections и Status > Logging

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Соединения хорошо бы фильтровать по попытке подключения...
Маршрут TTK/TTK_IKT_NET мониторить не надо
Зачем у вас включен transparent mode на ST?
Почему нет маршрута ST/ST_NET в main?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Приведен кусок лога именно в момент попытки подключения, когда соединение с PPTP2 через WAN2 (ST_Inet) установлено и ломимся по внутреннему IP на RDP 192.168.0.10

Причем смущает ошибка в логе "LogChecksymErrors" - "invalid_ip_checksym drop", при подключении по PPTP и затем внутреннему RDP через WAN1 (TTK) такой ошибки нет и все работает.
Правила, как выше на скринах видно, настроены для обоих интерфейсов одинаково.



Если выключить мониторинг, то не будет перехода на WAN2 (ST_Inet) интерфейс, в случае падения WAN1 (TTK).



Интерфейс ST сам по себе не используется, из него берутся два VLAN интерфейса, ST_Inet (WAN2) и ST_VPN, с последним проблем нет, да и с первым тоже, кроме вышеуказанной ошибки в логе и неработающего через его PPTP сервер внутреннего RDP. Причем подключаясь через PPTP2 (WAN2) работает все, даже файловые операции по SMB на эту машину, а терминал не подключается.
Вчера обнаружился момент-если использовать старый клиент RDP, без проверки подлинности сети-все подключается и вопросов нет. Видимо что-то все таки с WAN2 или внутренними специфическими настройками роутера. Также если через WAN2 извне через Opera зайти на роутер-все работает, через IE после проверки сертификата отваливается и не дает подключиться.

А у вас с MTU на WAN2 все нормально?
Мониторить подсеть интерфейса при резервировании не надо, надо мониторить маршрут на all-nets
Transparent mode для ваших задач не нужен, отключите его

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

MTU на ST интерфейсе указан 1500, пробовал и 1400-никакой разницы. Связывался с провайдером-говорят 1492 при PPPoE или 1500 при статике.
Также было сказано, что с их стороны логов подключения нет, так как статический IP без PPP.

Transparent попробую выключить, и мониторинг поправлю, но чуть позже - сейчас там люди работают, тыркать туда сюда не буду.