D-Link • Просмотр темы - Опять IPsec Failover

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Опять IPsec Failover

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Solger

Заголовок сообщения: Опять IPsec Failover

Добавлено: Пн дек 12, 2011 13:22

Зарегистрирован: Ср окт 19, 2011 06:23
Сообщений: 14

Добрый день. Имеются два DFL-1660 в филиалах на каждом из котрых по 2 ISP - цель резервирование но не балансировка wan1 wan2 и резервирование Ipsec. Настроено изначально по статье с ftp d-linka - затем добавлены PBR и Rules соответственно как написано выше. Тестирование показало что при обрвые wan1 происходит подключение через wan2 и активация второго vpn ipsec2. То есть всё в принципе работает как написано. Только один момент остался непонятный - дело в том что за DFL2 находятся сервисы www smtp к которым доступ производится через подключение к внешнему IP на первом wan1 и с помощью port forwarding пакеты передаются на локальный IP сервера. Проблема в том что когда на DFL1 отключается wan1 и происходит переключение на WAN2 то пакеты идущие в внешнюю сеть маршрутизируются нормально через wan2 а пакеты которые предназначены конкретно для внешнего ип DFL2 ( то есть подключение к веб-ресурсам почте итд) направляются через WAN1 у DFL1 - то есть на отключенный канал и не доходят. Понятно что проблема где-то в настройках таблиц или правил. Подскажите.

Вернуться наверх

danilovav

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Вт дек 13, 2011 07:46

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Если пакеты идут не туда, значит неправильная маршрутизация
Показывайте все таблицы + правила PBR

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Solger

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Вт дек 13, 2011 09:11

Зарегистрирован: Ср окт 19, 2011 06:23
Сообщений: 14

main:

Код:

#    Type    Interface    Network    Gateway    Local IP address    Metric    Monitor this route    Comments 
1    Route    lan2    moscow_net    moscow_gateway    moscow_gateway   90   No    
2    Route    wan1    wan1net           100   No    
3    Route    wan2    wan2net           100   No    
4    Route    wan1    all-nets    wan1_gw       90   Yes    
5    Route    wan2    all-nets    wan2_gw       100   Yes    
6    Route    omsk_ipsec1    omsk_net           90   Yes    
7    Route    omsk_ipsec2    omsk_net           100   Yes    
8    Route    wan1    omsk_gw2    wan1_gw       100   No    
9    Route    wan2    omsk_gw1    wan2_gw       100   No    
10    Route    dmz    dmznet           100   No   Direct route for network dmznet over interface dmz...
11    Route    lan1    lan1net           100   No   Direct route for network lan1net over interface la...
12    Route    lan2    lan2net           100   No   Direct route for network lan2net over interface la...
13    Route    lan3    lan3net           100   No   Direct route for network lan3net over interface la...
 

alt_wan1

Код:

#    Type    Interface    Network    Gateway    Local IP address    Metric    Monitor this route    Comments 
1    Route    wan1    all-nets    wan1_gw       100   No    

alt_wan2

Код:

#    Type    Interface    Network    Gateway    Local IP address    Metric    Monitor this route    Comments 
1    Route    wan2    all-nets    wan2_gw       100   No    
 

ipsec1

Код:

#    Type    Interface    Network    Gateway    Local IP address    Metric    Monitor this route    Comments 
1    Route    omsk_ipsec1    all-nets           100   No    
 

ipsec2

Код:

#    Type    Interface    Network    Gateway    Local IP address    Metric    Monitor this route    Comments 
1    Route    omsk_ipsec2    all-nets           100   No    
 

PBR

Код:

#    Name    Source interface    Source network    Destination interface    Destination network    Service    Comments 
1    postfix    wan1    all-nets    any    all-nets    smtp   (Disabled) 
2    wan2    wan2    all-nets    any    all-nets    all_services    
3    wan1    wan1    all-nets    any    all-nets    all_services    
4    omsk_ipsec1    omsk_ipsec1    all-nets    any    all-nets    all_services    
5    omsk_ipsec2    omsk_ipsec2    all-nets    any    all-nets    all_services    
 

Если я правильно понял то именно запись в main :8 Route wan1 omsk_gw2 wan1_gw 100 No - не даёт трафику для
omsk_gw2 идти через wan2_gw так как жёстко привязывает его к wan1_gw.

Вернуться наверх

danilovav

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Ср дек 14, 2011 11:27

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Теперь понял
Сделайте альтернативную таблицу с балансировкой и перенаправляйте в нее исходящие подключения из lan на соответствующий IP адрес удаленного DFL (а можно и все подключения) через PBR

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Solger

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Ср дек 14, 2011 12:42

Зарегистрирован: Ср окт 19, 2011 06:23
Сообщений: 14

То есть если правильно я понял надо создать таблицу где маршрут на первый канал wan имеет меньшую метрику чем на второй -например :

Код:

4    Route    wan1    all-nets    wan1_gw       90   Yes    
5    Route    wan2    all-nets    wan2_gw       100   Yes  

И потом создать PBR где для моего удалённого адреса за которым пробрасываются порты на локальный за ним сервер - указывается что весь трафик либо нужные сервисы используют для отправки эту альтернативную таблицу а для приёма таблицу main. Правильно? Не повредит ли это правило резервированию каналов -ведь в main уже указано правило привязывающее внешний ип удалённого филиала к первому шлюзу.?

Вернуться наверх

danilovav

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Ср дек 14, 2011 13:38

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

В альтернативной таблице должно быть все так же, как и в main минус статические маршруты
Статике для самого DFL не повредит - вы будете перенаправлять только lan-клиентов, сам DFL будет работать через main

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Solger

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Чт дек 15, 2011 10:40

Зарегистрирован: Ср окт 19, 2011 06:23
Сообщений: 14

Цитата:

минус статические маршруты

Извините - не могли бы вы точнее указать какие маршруты не следует включать в альтернативную таблицу и какую таблицу в правиле указать как Forward - точнее даже какую как Return?

Вернуться наверх

danilovav

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Пт дек 16, 2011 05:16

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Только эти

Код:

4    Route    wan1    all-nets    wan1_gw       90   Yes   
5    Route    wan2    all-nets    wan2_gw       100   Yes  

В правиле PBR будет forward alt, return main

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Solger

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Пт дек 16, 2011 06:43

Зарегистрирован: Ср окт 19, 2011 06:23
Сообщений: 14

Создал новую таблицу

Код:

#    Type    Interface    Network    Gateway    Local IP address    Metric    Monitor this route    Comments 
1    Route    lan2    moscow_net    moscow_gateway    moscow_gateway   90   No    
2    Route    wan1    wan1net           100   No    
3    Route    wan2    wan2net           100   No    
4    Route    omsk_ipsec1    omsk_net           90   Yes    
5    Route    omsk_ipsec2    omsk_net           100   Yes    
6    Route    wan1    omsk_gw2    wan1_gw       100   No    
7    Route    wan2    omsk_gw1    wan2_gw       100   No    
8    Route    dmz    dmznet           100   No    
9    Route    lan1    lan1net           100   No    
10    Route    lan2    lan2net           100   No    
11    Route    lan3    lan3net           100   No

затем PBR

Код:

#    Name    Source interface    Source network    Destination interface    Destination network    Service    Comments 
1    postfix    lan2    lan2net    wan2    all-nets    smtp

Проверил - пакеты всё равно идут на шлюз первого канала ISP

Затем поменял PBR - сузил назначение до IP адреса внешнего wan удалённого DFL

Код:

    Name    Source interface    Source network    Destination interface    Destination network    Service    Comments 
1    postfix    lan2    lan2net    any    omsk_gw2    all_services

Тот же результат omsk_gw2 - это ip адрес wan1 удалённого DFL за которым нужный сервер почты.
По логам видно что пакет уходит на первый шлюз

Код:

SYN_RCVD   TCP   lan2:192.168.8.2:64898   wan1:чч.чч.чч.чч:25   52

Тое есть коннект к яндексу smtp.yandex.ru напр через 25 порт идёт через wan2 - а на omsk_gw2 - на wan1 -не могу понять каким маршрутом эта привязка осуществляется так как деактивировал в таблице postfix маршруты

Код:

6    Route    wan1    omsk_gw2    wan1_gw       100   No    
7    Route    wan2    omsk_gw1    wan2_gw       100   No    

В конечном итоге оставил в postfix то есть в альтернативной таблице след маршруты

Код:

#    Type    Interface    Network    Gateway    Local IP address    Metric    Monitor this route    Comments 
 2    Route    wan1    wan1net           100   No    
3    Route    wan2    wan2net           100   No    
7    Route    wan1    all-nets    wan1_gw       90   Yes    
8    Route    wan2    all-nets    wan2_gw       100   Yes    
 
10    Route    dmz    dmznet           100   No    
11    Route    lan1    lan1net           100   No    
12    Route    lan2    lan2net           100   No    
13    Route    lan3    lan3net    

Если деактивировать правило 7 то пакеты по 25 порту пересылает успешно на wan2 - по идее мониторинг должен автоматом переключить на wan2 трафик но не переключает даже с мониторингом

Вернуться наверх

danilovav

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Сб дек 17, 2011 07:32

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Все работает, проверяйте не перекрывается ли чем или ошибки смотрите

У меня аналогичная конфигурация, статические маршруты используются для разделения IPsec по каналам

Есть объект sten_sk_ip2 = 85.235.x.x (под "х" кроются разные цифры), который идет через wan2

Код:

Home_800:/> routes main -lookup=RemoteNetworks/sten_sk_ip2
Looking up 85.235.x.x in routing table "main":

  Matching route: 85.235.x.x
  Routing table : main
  Send via iface: wan2
  Gateway       : 90.155.x.x

  Proxy ARP on  :
  Local IP      : (use iface IP in ARP queries)
  Metric        : 1
  Flags         :

Соответственно, запускаем пинг и видим

Код:

Home_800:/> connections -show -destip=85.235.x.x
State    Proto   Source                      Destination                 Tmout
-------- ------- --------------------------- --------------------------- ------
PING     ICMP    lan:192.168.10.122:1        wan2:85.235.x.x:1       8

Далее, добавляем таблицу wan1_wan2_favorier

Код:

Home_800:/> routes wan1_wan2_favorier
Routing table: wan1_wan2_favorier
Flags Network            Iface          Gateway         Local IP        Metric
----- ------------------ -------------- --------------- --------------- ------
  M   0.0.0.0/0          wan1_pptp                                      100
      0.0.0.0/0          wan2           90.155.x.x                  101

Добавляем правило PBR для обработки подключений на sten_sk_ip2

Код:

Home_800:/> show RoutingRule 1

              Property  Value
 ---------------------  --------------------------
                Index:  1
                 Name:  sk2_thru_favorier
  ForwardRoutingTable:  wan1_wan2_favorier
   ReturnRoutingTable:  main
      SourceInterface:  lan
        SourceNetwork:  InterfaceAddresses/lan_net
 DestinationInterface:  wans
   DestinationNetwork:  RemoteNetworks/sten_sk_ip2
              Service:  all_services
             Schedule:  <empty>
           LogEnabled:  Yes
          LogSeverity:  Default
             Comments:  <empty>

Применяем, запускаем пинг

Код:

Home_800:/> connections -show -destip=85.235.x.x
State    Proto   Source                      Destination                 Tmout
-------- ------- --------------------------- --------------------------- ------
PING     ICMP    lan:192.168.10.122:1        wan1_pptp:85.235.x.x:1  8

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Solger

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Пн дек 19, 2011 06:13

Зарегистрирован: Ср окт 19, 2011 06:23
Сообщений: 14

Мне кажется что у вас немного не та конфигурация - точнее ваш тест не отображает в точности мою ситуацию. Дело в том что само правило PBR работающее на обслуживание тестового ип отрабатывает нормально. То есть если я в таблице main все запросы к omsk_gw2
или как в вашем примере от sten_sk_ip2 жёстко привяжу к wan2 - то при применении данного PBR

Код:

1 postfix lan2 lan2net any omsk_gw2 all_services

конечно же все пакеты уже будут идти по wan1 - в моём случае это также работает. Не работает Failover заданный в альтернативной таблице - то есть если wan1 отключить то по логике пакеты опять должны идти на wan2 так как мониторинг на первом маршруте установлен. Мне кажется что просто у меня не отрабатывает мониторинг маршрута в альтернативной таблице - возможная причина в том что в мониторинг хостс у меня забит внутренний ип адрес удалённой системы а так как поднимается резервный ipsec канал то и переключения не происходит. Надо попробовать указать другие хосты в мониторинге.

Проверил ещё раз настройки мониторинга - так и вышло что не работает переключение просто из-за того что мониторящиеся хосты были всё-равно доступны. Дело в том что я просто менял ип адрес на внешнем интерфейсе -при этом канал не обрывался фактически. теперь указал днс сервера провайдеров - надо будет протестировать.

Вернуться наверх

danilovav

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Пн дек 19, 2011 23:11

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Если вы находитесь в европейской части, очень хороший вариант для мониторинга - Google DNS

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Solger

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Вт дек 20, 2011 06:24

Зарегистрирован: Ср окт 19, 2011 06:23
Сообщений: 14

К сожалению в азиатской части.

Вернуться наверх

Solger

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Вт дек 27, 2011 06:26

Зарегистрирован: Ср окт 19, 2011 06:23
Сообщений: 14

Возник ещё один вопрос. В другом филиале подключение к интернету происходит через PPToE. Cоответствено создаётся виртуальный интерфейс привязанный к реальному - тоесть wan1 привязанный к wan1_phys - для обоих создаются маршруты в main по умолчанию - вопрос в том какой из них следует указывать в маршрутах отвечающих за резервирование - сам PPToE или физический. На данный момент использую такие маршруты

Код:

#  Type  Interface  Network  Gateway  Local IP address  Metric  Monitor this route  Comments  
1  Route  lan2  tumen_netAddress: 192.168.2.0/24  tumen_gatewayAddress: 192.168.9.2  tumen_gatewayAddress: 192.168.9.2 90 No   
2  Route  wan1_phys  all-netsAddress: 0.0.0.0/0  wan1_gwAddress: 0.0.0.0   90 Yes   
3  Route  wan2  all-netsAddress: 0.0.0.0/0  wan2_gwAddress: 0.0.0.0   100 Yes   
4  Route  omsk_ipsec1  omsk_netAddress: 192.168.5.0/24     90 Yes   
5  Route  omsk_ipsec2  omsk_netAddress: 192.168.5.0/24     100 Yes   
6  Route  wan1_phys  omsk_gw1Address: xx.xx.xx.xx  wan1_gwAddress: 0.0.0.0   100 No   
7  Route  wan2  omsk_gw2Address: yy.yy.yy.yy  wan2_gwAddress: 0.0.0.0   100 No   
8  Route  wan1  wan1netAddress: 0.0.0.0/0     90 No Direct route for network wan1net over interface wa... 
9  Route  wan1_phys  wan1_physnetAddress: 0.0.0.0     100 No Direct route for network wan1_physnet over interfa... 
10  Route  wan2  wan2netAddress: 192.168.120.0/24     100 No Direct route for network wan2net over interface wa... 
11  Route  dmz  dmznetAddress: 172.17.100.0/24     100 No Direct route for network dmznet over interface dmz... 
12  Route  lan1  lan1netAddress: 192.168.10.0/24     100 No Direct route for network lan1net over interface la... 
13  Route  lan2  lan2netAddress: 192.168.9.0/24     100 No Direct route for network lan2net over interface la... 
14  Route  lan3  lan3netAddress: 192.168.30.0/24     100 No Direct route for network lan3net over interface la... 

ТО есть используется и указывается в маршрутах резервирования физ интерфейс - wan1_phys - правильно ли это или нужно использовать виртуальный wan1?

Вернуться наверх

danilovav

Заголовок сообщения: Re: Опять IPsec Failover

Добавлено: Ср дек 28, 2011 05:53

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Если через физ. интерфейс ничего не должно идти, снимите обе галки автосоздания маршрутов в параметрах wan_phys

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 301

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения