Добрый день.

На межсетевом экране DFL-260E потребовалось подключить дополнительный интернет-канал.
Никаких переключений с канала на канал не нужно. Просто часть пользователей должна работать
по одному каналу, часть по другому.
По совету технического специалиста компании DLINK попытался сделать это через DMZ, с помощью
статьи «Настройка filover конфигурации и использование PRB для направления различных типов трафика
через разных ISP».
1.Прописал параметры IP второго интернет-провайдера для DMZ в Objects->Address Book->InterfaceAddresses.
2.Создал объект dmz_gw. В панели Interfaces->Ethernet для dmz в поле Default Gateway установил dmz_gw.
3.В панели Interfaces-> InterfacesGroup создал группу из wan и dmz. В правилах Rules->IP Rules->lan_to_wan
в качестве интерфейса назначения установил созданную интерфейсную группу.
4. Создал альтернативную таблицу маршрутизации в панели Routing->RoutingTables. Таблицу назвал alt и в поле
Ordering установил Only. Для этой таблицы сделал единственный маршрут:
Interface: dmz
Network: all-nets
Gateway: dmz_gw
Metric: 90
На вкладке монитор проставил все галочки для мониторинга.
В основной таблице маршрутизации ничего не менял. Там прописаны маршруты созданные системой по умолчанию,
для интерфейсов lan, wan, dmz с Metric 100.
5.Создал правило, которое должно перенаправлять весь трафик с определенного компьютера в локальной сети
на dmz-канал:
Forward Table: alt
Return Table: main
Service: all-services
Source Interface: lan
Source Network: computer_2
Destination Interface: wan
Destination Network: all-nets.

В результате не работает интернет на этот компьютере.
Причем, по всей видимости, трафик «заворачивается» на альтернативную таблицу маршрутизации,
поскольку, как только делаешь правило п.5 Disable, все работает по старому. Что-то, по всей видимости
не доделано либо в альтернативной таблице маршрутизации, либо в правилах lan_to_wan.
Помогите разобраться.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за ссылку. Я это читал. У меня все сделано так же. В статье, на которую я ссылался, более подробно все это описано. Но вот не работает. Я думал кто-нибудь попробует мне более детально помочь разобраться.

покажите скриншоты IP-правил, правил маршрутизации, таблиц маршрутизации, status-routes

короче всего, что имеет отношение к проблеме

Есть в таблице main маршрут по умолчанию (0.0.0.0/0) на all-nets через dmz? Он нужен

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за желание помочь. Я собрал все картинки настроек в файл, файл, к сожалению, сюда выложить не удается. Если Вас не затруднит, заберите файл на http://files.mail.ru/ISTSPM. Спасибо.

Все выглядит правильно. Должно работать

Только выключите весь мониторинг маршрута в таблице Alt. В этом может быть причина.

Сделайте основной маршрут через wan приоритетнее, т.е меньше метрику

Попробуйте в правиле маршрутизации интерфейс назначения сделать wans. Хотя это не принципиально

Пробовали всей сетью выходить через dmz? Без проблем? для этого достаточно метрику основного маршрута через dmz сделать меньше, чем у wan.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Выключил мониторинг маршрута в таблице Alt и все заработало. Чудеса. Понять бы как это так мониторинг может влиять на работоспособность.
Спасибо.

У вас был включен, например, мониторинг по ICMP, но ничего дальше не настроено. Соответственно маршрут выключался и поэтому не работало.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я, честно говоря, не разбирался еще как работает мониторинг Link Status (физического соединения) и мониторинг Gateway. Как я понял, они используются, в частности, для fileover конфигураций, т.е. когда нужно отследить статусы подключений и вовремя переключаться с неработающего на работающий. Для данной конфигурации это значение не имеет. Но для себя, поробую с этим в дальнейшем поразбираться.
Эту тему будем считать закрытой. Еще раз спасибо за уделенное время.