Доброго времени суток. Столкнулся со следующей задачей. Есть DFL860. Есть 2 провайдера со статикой. На 1-м канале подвязаны IpSec туннели с другими объектами. Хочется через 2-й канал пустить интернет пользователей, а на основном оставить только туннели. В случае, когда меняю метрику, устанавливая меньшую на 2-й канал, туннели отваливаются.
Судя по всему нужен статический маршрут для туннеля, чтобы он лез через wan1. Пробовал указывать его в таблице маршрутизции, не помогло.
Далее попытался обойти через правила маршрутизации. создал альтернативную таблицу, с основным шлюзом wan1 и создал правила, что для пакетов идущих из тоннеля в локалку и наоборот пользоваться таблицей с основным шлюзом wan1, а для всего остального пользоваться таблицей с основным шлюзом wan2. Не помогло.
В связи с этим нужна помощь. У кого какие идеи есть?

_________________
DFL-860E(2.40.03)
DFL-860E(2.40.01)
DFL-860(2.27.03)
DFL-800(2.27.05)
DFL-800(2.27.07)
DSR-500N x2(1.06B43)
DSR-250N(1.05B53)
DSR-250N x4(1.05B20)
DIR-330 x10(1.23)
DIR-615 x2
DIR-628
DI-824 x2
DWL-2100AP x2

Cisco ASA 5505
2901

Mikrotik 750GL

выкладывайте скриншоты с настройками PBR.

Неправильно т.к. PBR не действует на исходящие от core пакеты.
В main делайте маршруты, которые будет использовать сам DFL для туннелей и иного, т.е. там будет wan1 all-nets wan1_gw.
Делаете альтернативную таблицу alt_wan2 с дефолтным маршрутом на wan2 и на нее делаете 2 правила PBR
1) lan/lannet wans/all-nets, forward=alt_wan2, return=main - выпуск lan-клиентов через wan2
2) wan2/all-nets any/all-nets, forward=main, return=alt_wan2 - обработка входящих с wan2 (если надо)

Альтернативой (при условии четких адресов для IPsec) будет использование только таблицы main со статическими приоритетными (метрика 1) маршрутами до ipsec-точек через wan1 и дефолтным маршрутом на wan2.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Выкладываю
Основная таблица

Альтернативная таблица

Правила маршрутизации

_________________
DFL-860E(2.40.03)
DFL-860E(2.40.01)
DFL-860(2.27.03)
DFL-800(2.27.05)
DFL-800(2.27.07)
DSR-500N x2(1.06B43)
DSR-250N(1.05B53)
DSR-250N x4(1.05B20)
DIR-330 x10(1.23)
DIR-615 x2
DIR-628
DI-824 x2
DWL-2100AP x2

Cisco ASA 5505
2901

Mikrotik 750GL

to danilovav
Спасибо огромное, все заработало без шума и пыли!

_________________
DFL-860E(2.40.03)
DFL-860E(2.40.01)
DFL-860(2.27.03)
DFL-800(2.27.05)
DFL-800(2.27.07)
DSR-500N x2(1.06B43)
DSR-250N(1.05B53)
DSR-250N x4(1.05B20)
DIR-330 x10(1.23)
DIR-615 x2
DIR-628
DI-824 x2
DWL-2100AP x2

Cisco ASA 5505
2901

Mikrotik 750GL

В продолжение по результатам тестирования возник другой вопрос.
Возникла проблема с резервированием. При падении wan2, wan1 автоматически не поднимается. Касательно туннелей все хорошо. При отключении wan1 они начинают работать через wan2. PPTP сервер ведет себя точно также.
Как обойти это?

_________________
DFL-860E(2.40.03)
DFL-860E(2.40.01)
DFL-860(2.27.03)
DFL-800(2.27.05)
DFL-800(2.27.07)
DSR-500N x2(1.06B43)
DSR-250N(1.05B53)
DSR-250N x4(1.05B20)
DIR-330 x10(1.23)
DIR-615 x2
DIR-628
DI-824 x2
DWL-2100AP x2

Cisco ASA 5505
2901

Mikrotik 750GL

А вы ничего не говорили о резервировании для выхода в интернет lan-клиентов.

Чтобы при падении wan2 (через который идут клиенты в интернет) использовался wan1, сделайте таблицу маршрутизации wans_favorier, в которой сделайте маршрут на wan2 с метрикой 99 и мониторингом ICMP и маршрут на wan1 с метрикой 100 (мониторинг не нужен). Переделайте PBR правило lan/lannet > wans/all-nets на эту таблицу.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Хотелось бы заранее уточнить.
1. В таблице alt по сути это уже сделано только метрика 110 и 100, зачем нужна новая таблица?
2. В PBR правиле переделываю на эту таблицу только прямую маршрутизацию или обратную тоже?

_________________
DFL-860E(2.40.03)
DFL-860E(2.40.01)
DFL-860(2.27.03)
DFL-800(2.27.05)
DFL-800(2.27.07)
DSR-500N x2(1.06B43)
DSR-250N(1.05B53)
DSR-250N x4(1.05B20)
DIR-330 x10(1.23)
DIR-615 x2
DIR-628
DI-824 x2
DWL-2100AP x2

Cisco ASA 5505
2901

Mikrotik 750GL

Про alt - не надо там дублировать все маршруты из main. Достаточно двух wan2/all-nets и wan1/all-nets. Тем более, не надо мониторить маршруты wan1/wan1net и wan2/wan2net.

Про PBR - естественно только прямую, обратная должна быть main.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Добрый день. Продолжим тему
Итак, встал вопрос резервирования.
В случае падения второго канала, по которому идет интернет все проходит гладко. Канал проверяет недоступность удаленного хоста и переключает интернет на первый.
Проблема в случае падения первого канала, на удаленном DFL800 создается сразу второй туннель направленный на ту же подсеть. После чего данный маршрут глохнет. Как обойти данную проблему без полного рестарта удаленного роутера?

_________________
DFL-860E(2.40.03)
DFL-860E(2.40.01)
DFL-860(2.27.03)
DFL-800(2.27.05)
DFL-800(2.27.07)
DSR-500N x2(1.06B43)
DSR-250N(1.05B53)
DSR-250N x4(1.05B20)
DIR-330 x10(1.23)
DIR-615 x2
DIR-628
DI-824 x2
DWL-2100AP x2

Cisco ASA 5505
2901

Mikrotik 750GL

А вам надо чтобы удаленный DFL коннектился к резервному каналу или нет?
Создается именно второй маршрут или второй IPsec SA?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

второй IpSec CA.
Нужно, чтобы все шло через второй канал.
Обнаружил тем временем упрощенный алгоритм ручного восстановления. Отключение правил на удаленном роутере для первого канала.

_________________
DFL-860E(2.40.03)
DFL-860E(2.40.01)
DFL-860(2.27.03)
DFL-800(2.27.05)
DFL-800(2.27.07)
DSR-500N x2(1.06B43)
DSR-250N(1.05B53)
DSR-250N x4(1.05B20)
DIR-330 x10(1.23)
DIR-615 x2
DIR-628
DI-824 x2
DWL-2100AP x2

Cisco ASA 5505
2901

Mikrotik 750GL