Здраствуйте!
Очень нужна помощь.
Есть девайс Model:DFL-860E
Configuration:Version 27
NetDefendOS Version:2.27.30.03-26422 Apr 8 2015

Настраивал по мануалах Часть трафика через один канал, часть трафика через второй, + настроено резервирование канала. Тут вроде бы все ок. Также настроено DMZ за которым стоит WEB-сервер. Вроде бы все работает, сервер доступен из вне. Но иногда вылазит следующая проблема: по непонятным причинам без всякой прослеживаемой закономерности на WEB-сервере пропадает интернет, из сервера невозможно пропинговать внешнее адреса например 8.8.8.8 , хотя в тот же момент на запросы из вне сервер отвечает, WEB-сайт работает.
После перегрузки достаточно даже сделать Reconfigure и все опять работает. По времени тоже никакой закономерности, может работать неделю, а может несколько раз в день пропадать.

в логах
тогда часто проскакивает

Warning RULE 6000051 Default_Rule ICMP dmz 192.252.14.100 8.8.8.8 ruleset_drop_packet drop
ipdatalen=40 icmptype=ECHO_REQUEST echoid=1 echoseq=117

эта запись в логе означает, что для данного соединения (источник, назначение, порт) не найдено правило обработки и пакет дропнут

похоже на глюк с конфигурацией.

Проверьте чтоб мониторинг каналов был только через ICMP. БЕЗ других включенных методов мониторинга.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

я это понимаю. это уже следствие. Но почему дропается исходящий трафик? почему после перегрузки все работает? как в тот же момент работает WEB-сервис (сайт работает в штатном режиме, доступный из вне). Только сайт не может отправлять письма по протоколу SMTP

настраивал по єтим мануалам http://www.dlink.ru/u/faq/85/576.html

На момент глюка сохраните и покажите Status - Routes. скриншотом

А можете просто здесь скриншотами выложить конфигурацию. Или показать ее опытным пользователям, открыв доступ на аудит. Тут уже на ваше усмотрение, можно ли это допустить. Можно сделать это подконтрольно, через TeamViewer.

можете мне в личку послать реквизиты доступа. гляну.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ок щас наделаю скринов.

скинул в личку ссылку на скрины конфигурации

по поводу используемых вами методов мониторинга вы ничего не ответили и не показали

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

напомните где подсмотреть?

вроде вот

1. На скринах явно не 2.27
2. Вместо того что используется - используйте Host Monitoring до шлюза провайдера и/или до 8.8.8.8
Юрий уже об этом говорил:

Вероятно, у вас маршрут не отлипает при переключении.
И проверьте ещё корректность правил для исходящего трафика в альтернативном маршруте.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Да нет стоит прошивка, 2.27.30.03-26422 Apr 8 2015

З host monitoring попробую.

Насчет отлипания маршрута неуверен, поскольку с LAN интерфейса в тот момент все нормально. Да и небыло переключения между провайдерами - мнтернет стабильный.
Буду ждать зависания тогда сделаю скрин маршрутов.

Т.е. Вам надо выключить все 3 включенные галки мониторинга и, напротив, включить галку "Enable Host Monitoring", после чего указать в доп вкладке адреса проверяемых хостов. Например, это могут быть хосты из ya.ru или гугловских DNS серверов. Вариантов сотни, на ваш выбор.

Все значения можно оставить по умолчанию. Однако, я обычно выставляю "Minimum Reachable Hosts:" = 1

Кроме того, действительно, вам надо проверить наличие или вывести на самый верх IP-правило типа
NAT dmz dmznet <группа интерфейсов WAТ1 + WAN2> all-nets all-services

Еще одно. Во время пропадания инета в DMZ, он с других интерфейсов доступен? И пропадает весь инет или только DNS серверы?

Еще другое. Я бы вам рекомендовал отказаться от настройки DNS релей и использовал везде гугл DNS. По крайней мере временно, на период решения проблемы. Для себя лично, не вижу вообще необходимости настройки DNS релей, за исключением особых случаев.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Еще одно предположение - имеются атаки снаружи.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...