Добрый день!

На скриншоте ниже приведены счетчики на интерфейсах двух межсетевых экранов DFL-860e, соединенных между собой напрямую патч-кордом 5 метров. Перед снапшотами устройствам был сделан Reboot - Power-off directly and restart from power-on state. Цифры на счетчиках не прибавились, но и не обнулились. Что они значат и нужно ли принимать какие-либо меры, на других интерфейсах таких значений на счетчиках нет, либо очень маленькие. А In : Frame Align Errors на остальных интерфейсах по 0, но там скорость 100Mbit/s, а здесь 1Gbit/s.
Более короткий кабель пробовал - никак не влияет, а принудительно 100Mbit/s не ставил.

Попробуйте снизить скорость.
Попробуйте через свитч (хоть неуправляемый) пустить.
Попробуйте прошивку обновить.

У меня, через свитч, все ровно

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Добрый день.

Столкнулся с похожей проблемой. Оборудование провайдера Mikrotik RB260GS включено в наш DFL-860e в порт WAN2, при скорости от провайдера выше 100mbit/s железки не видят MAC-адреса друг друга, в статус порта WAN2 DFL пишет Frame Align Errors. Пробовали менять Mikrotik, DFL, перенастраивать WAN2 на DMZ, менять принудительно скорость WAN2 с 1Gbit/s на 100Mbit/s, принудительно выставлять MAC-адрес на порту WAN2, откатывал прошивку на предыдущую - эффект тот же самый, пакеты не идут (видно в статусе порта), НО если просто подключить к любому роутеру (свичу) с WAN2 патчем - пакеты начинают идти.

Прошу помощи, или исправления в последующих версиях прошивок, сейчас версия 10.22.01.04-26408-WW

Эта вещь аппаратная. Прошивкой не вылечится

Из "попробовать":
- обновить прошивку на MikroTik, что вряд ли поможет
- перенастроить WAN2 на один из LAN портов. Это может помочь, т.к. там вроде чипы другого производителя в отличие от WAN2

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Собственно FA - это физический уровень и причины либо в плохом кабеле или же "разноязыкости" протоколов согласования. Второе обычно лечится явным выставлением одинаковых параметров скорости и дуплекса на обоих сторонах. Ну или вставлять в середину коммутатор потупее.

Добрый день.

Спасибо уважаемому форуму за ответы к моему посту. Поставил свич в разрыв WAN2 и провайдера - Frame Align Errors исчезли, но пакетов идет очень малое количество, видимо только служебные, команда PING на WAN2 не отрабатывается (хотя в правилах разрешено пинговать внешний IP WAN2, в логах по WAN2 - ICMP Connection Open - ICMP Connection Close, и всё, PING-а на WAN2 нет, принудительное изменение MTU WAN2 не помогает, WAN1 с другим провайдером работает отлично и пингуется, буду разбираться дальше). В другом филиале НА ТОМ ЖЕ ОБОРУДОВАНИИ (нашем и того же провайдера) всё работает и пингуется отлично по WAN2, конфигурацию филиалов сверял вплоть до галочки - всё то же самое.

_________________
9 x DFL-860e, 1 x DFL-210.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, спасибо, буду пробовать, но все работает и пингуется отлично по WAN2 в других филиалах (есть с тем же оборудованием, нашем и провайдера), только в одном филиале перестало работать с какого-то непонятного момента, хотя конфигурация не менялась долгое время.

Опять же, надо понимать о чем Вы ведете речь: об исходящих соединениях через WAN2 или о входящих?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Входящий Ping на WAN2 не работает, соответственно я по внешнему IP WAN2 не захожу на наш DFL. Через второго провайдера по WAN2 передается видеопоток в центральный офис (инициатором запроса является центральный офис, а так да, трафик по WAN2 от филиала - исходящий), но исходящая Failover-конфигурация через WAN2 настроена и работает (Вернее работала, до невозможности захода на WAN2 )

Надо полагать, и сейчас работает. Т.к. с доступом извне на WAN2 это не имеет общих настроек.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Если не работает одно, это не значит, что не работает и другое.

Правила маршрутизации для доступа того и другого настраиваются аналогично, но сам доступ разрешается по-разному. Для пинга - IP правилами, а для управления DFL - через Remote Management.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, спасибо, последовал Вашему совету viewtopic.php?t=65359&start=14 - Ping на WAN2 отрабатывается. Странно то, что в другом филиале, при тех же настройках, то же самое, на том же оборудовании и прошивках работает без альтернативной таблицы маршрутизации, а простым разрешающим правилом wan2 all-nets core wan2_ip all_icmp. И при этом заход на web-мордочку DFL по WAN2 возможен, в настройках Remote Management записано, что можно заходить с all-nets. С альтернативной таблицей захода нет, но Ping стал отрабатываться...

P.S. Добавил в PBR правило для видеопотока, как и для Ping - всё стало работать... Какие-то странные нестыковки в прошивке для портов WAN2 и DMZ.

Это в принципе невозможно. Вероятно, вы обращаетесь на WAN2 извне из сети, которая прописана ходить только через WAN2. Или нечто иное, связанное с маршрутизацией.

Если на DFL надо настраивать одновременный доступ снаружи по нескольким WAN портам, настройка PBR неизбежна.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.