Коллеги, прошу помощи в вопросе настройки GRE туннеля между двумя DFL.
Имеются 2 одинаковых DFL-260E. Каждый из них управляет своей сетью. Адреса сетей не пересекаются (например 192.168.1.0/24 и 172.28.0.0/24).
У каждого из них настроен свой провайдер на порту WAN. Оба устройства установлены в одном серверном шкафу. Хочу поднять нешифрованный
GRE туннель между этими устройствами, чтобы пользователи этих 2-х сетей могли "видеть" друг друга.
Вопрос: как (какие физические порты) необходимо соединить у них (и можно ли так?) между собой, на каких интерфейсах?
Насколько я понимаю, у каждого из них 3 интерфейса: WAN, LAN и DMZ. Как быть если на одном (или обоих) заняты все 3 (WAN - у каждого свой провайдер,
LAN - у каждого своя сеть, DMZ - у каждого может быть своя вторая подсеть).
Шифрование в GRE канале не нужно, так как обе сети локальные, доверенные и соединение между ними (между DFL) физически возможно напрямую кабелем или через коммутатор.

Заранее всем откликнувшимся - большое спасибо!

Элементарно отделяете один лан в vlan и даоьше строите как хотите . В таком случае даже не надо ни какие гре мутить.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Никогда не работал с vlan. Можно по-подробнее пояснить (пошагово так сказать) как это реализовать? И как тогда физически соединить эти 2 устройства?

Да что тут обьяснять . Делаете на каждом влан, теги тут по барабану . Потом в свич менеджмент выделяете один порт в этот влан, лан с него освобождаете, вынимаете от туда пользователя и пересаживаете куда то на свич . Приколачиваете этим вланам адреса из какой нибудь сети только не вашей, будет у вас транспортная сеть . Соеденяете пачкордом .Пишите маршруты на противоположные адреса дфл в ваших влан и правила разрешающие траффик . Все проффит . Все довольны всем спасибо .
На форуме была тема только там ситуация была что вланы были на ван портах провайдер предоставлял там л2 канал .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

При правильных настройках можно сделать резервацию интернета и балансировку . И отдельные маршруты для нужных адресов в лан сетях. Вообщем появляется куча плюшек .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Владимир, подскажите где подробнее почитать о настройках и конфигурировании vlan? Кроме настроек vlan на DFL, нужны ли какие-либо настройки на другом сетевом оборудовании в этой подсети (коммутаторы) и на клиентах?

Читать в мануалах . Хотя на 260 е их мало . Про тот который в идеале почитать на википедии .
Смотря про какие настройки вы говорите... если на клиентах компах . То ни чего делать не надо... ну я конечно уверен что для каждой из ваших сетей дфл является шлюзом: -)
А так для начала освободите один из лан портов на каждом дфл.

Затем посмотрите в свич менеджмент ... ну а дальше в мануал ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

... Расслабьтесь и слушайте мой голос.

... Задача и правда простая.
... Одна из самых простых.
... Слушайте Владимира.
... Не мудрите.
... Делайте все пошагово.
... Делайте осмысленно.
... Всё получится.
... С затыками на форуме помогут.

... На счет три вы проснетесь. А оно уже работает.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

У Юры сегодня явно хорошее настроение

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

+1
у меня тоже нормальное.... Вчерась второй этап биллинга закончил ... теперь очередной виток переработки пошёл .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вобщем, прочитал мануалы (хотя их, как говорят, "Не сады"). В мануале рассматривается вариант подключения к одному или нескольким портам свитча DFL, сконфигурированных под vlan, так называемых VLAN TRUNK.
Предполагается, что DFL подключен к коммутатору, на портах которого выставлены соответствующие ID Vlan. И тогда пакеты, приходящие на выделенный порт DFL с этим же ID будут пропускаться
и обрабатываться в соответствии с правилами.
У меня ситуация другая (описал в самом начале). Порты коммутатора, к которым подключены 2 DFL НЕ МОГУТ БЫТЬ настроены под vlan (старые они, нет там такой возможности). Поэтому я спросил в самом начале -
можно ли напрямую соединить 2 DFL (без посредничества коммутатора). Если да - то как (какие порты) и как их настроить.
Попытался на каждом DFL выделить на свитче по 1 порту (например 5 порт) под vlan. Задал соответствующий (одинаковый на 2 DFL) ID vlan (например, 5). IP на первом DFL vlan 192.168.100.1,
на втором DFL vlan 192.168.100.2, сети vlan на обоих 192.168.100.0/24. Далее правила: разрешить все сервисы из lan в vlan и обратно на обоих DFL. Далее соединил патчкордом порты № 5 обоих DFL.
И ... ничего.
Если можете помочь, только конкретикой, а не туманными фразами о мануалах, - помогите! Мне в настоящее время (из-за ограничения по времени), как говорят, нужна формула, а не литература с инструкциями,
как ее вывести. Литературу, я почитаю потом, когда будет время и вникну в суть и пойму. Но сейчас вот так "динамить" мануалами - не по человечески.

Вне зависимости от интерфейса - при организации тоннеля подсети в локалках должны быть в разных подсетях.
Например, 192.168.100.0/24 и 192.168.101.0/24

И без коммутатора, боюсь, не обойтись.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Понял. А в остальном правильно сделал или нет?

коммутатор не нужен. совсем.

Для обоих DFL аналогично

1 освобождаете один из порт в LAN
2 создаете comm_net = 192.168.100.0/24. Отличную от всех других используемых сетей
3 создаете comm_ip = 192.168.100.X (на каждом DFL свой)
4 создаете VLAN_comm для коммуникационной подсети comm_net. ID не важен
5 выделяете выбраный порт под VLAN_comm в управлении свичем
6 соединятете патч кордом порты на обоих DFL
7 создаете маршруты и IP правила для хождения трафика между вашими локальными сетями.

это полумурзилка.

Вы вроде все сделали верно. Только маршруты не создали.

И еще всегда весьма полезно содавать правила разрешения пинга всех интерфесов DFL из разрешенных сетей. Для диагностики.

allow <группа_локальных_интерфейсов_включая_IP_sec> <группа_локальных_сетей> core <группа_адресов_всех интерфейсов DFL> ping_inbound

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Маршруты или правила (разрешения)? Маршрут в таблице маршрутизации, (main) вроде, создается автоматически при создании vlan.