faq обучение настройка
Текущее время: Вт июл 22, 2025 01:29

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
СообщениеДобавлено: Ср апр 27, 2011 03:39 
Не в сети

Зарегистрирован: Пн июл 06, 2009 08:11
Сообщений: 45
Приветствую. Имеется IPSec Failover между DFL800 и двумя DFL210. На каждом устройстве два WAN канала. Никаких PBR для IPSec не сделано, просто роуты с разным приоритетом. IPSec точки (endpoints) соеденяются друг с другом за счёт приоритетов в роутах. Для WAN2 на всех устройствах ссделана PBR для ответа с WAN2, когда пришёл пакет на WAN2.
Возниккли 2 вопроса.
1. Мониторинг умеет отслеживать IPSec "Monitor Interface Link Status"? Т.к. роут отключает, но не возвращает обратно.
2. Есть на в1 ответ нет, то, используя icmp мониторинг хостов, можно ли пинговать внутренний адрес удалённой точки (endpoint)? Будет ли устройство при пинге выбирать нужный мониторящийся интерфейс для посылки icmp пакетов?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср апр 27, 2011 05:17 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
1. Теоретически работает. Практически используйте ICMP мониторинг.

2. Надо пинговать lan_ip удаленного DFL. Интерфейс будет выбран правильно.

А теперь как сделать, тут немного нелогично

Routing > Routing tables > main
Включите _только_ ICMP мониторинг для маршрутов на IPsec, хостом укажите lan_ip удаленного DFL

Routing > Routing tables
Добавьте таблицу alt_ipsec1
Добавьте в нее маршрут ipsec1 all-nets 100
Сделайте то же самое для ipsec2 (alt_ipsec2)

Routing > Routing rules
Добавляйте правила
ipsec1/all-nets any/all-nets, forward main, return alt_ipsec1
ipsec2/all-nets any/all-nets, forward main, return alt_ipsec2

Rules > IP rules
В дополнение к разрешающим правилам для хождения трафика между сетями сделайте
Allow ipsec1/remote_net core/lan_ip ping-inbound
Allow ipsec2/remote_net core/lan_ip ping-inbound

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср апр 27, 2011 05:55 
Не в сети

Зарегистрирован: Пн июл 06, 2009 08:11
Сообщений: 45
PBR нужно делать для того, чтобы работал правильно мониторинг?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср апр 27, 2011 23:08 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Чтобы входящие из IPsec обрабатывались через альтернативные соответствующие таблицы - без учета мониторинга
Иначе не поднимется мониторинг

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 272


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB