faq обучение настройка
Текущее время: Сб авг 02, 2025 21:12

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: Вопросы по DFL-800
СообщениеДобавлено: Вт апр 03, 2007 16:40 
Не в сети

Зарегистрирован: Вт апр 03, 2007 13:13
Сообщений: 22
Откуда: Санкт-Петербург
1. Встроенный DHCP сервер не поддерживает выдачу определенных IP адресов по MACам? Только динамический пул?


2. Создаю PPTP/L2TP Client. В "Remote Endpoint:" вписываю dns:xxxxx.net. Сохраняю настройки, получаю:
Код:
There were errors in the new configuration:

Attempting to use new configuration data...

Error E4443/IFACES in "Tangram.L2TPClient", property "RemoteEndpoint":
  - Expected IP address

Attempting to use previous set of configuration data...

Если прописываю там IP адрес, то все работает. Нельзя использовать доменное имя? DNS сервер стоит в lan и настроен.

3. И самое главное. У меня есть lan, wan1 и wan2. wan1+wan2 я объединил в Interface Group all_wan. Далее прописал в IP Rules правила доступа (всегда для all_wan, а не отдельно для wan1/wan2). Ну еще и обратную маршрутизацию, но до этого не дошло.
Получилось: из lan в оба wan работает все прекрасно. В обратную сторону работает только wan1. На wan2 пишет в лог

Цитата:
2007-04-03
17:33:19 Warning RULE
06000051 Default_Access_Rule TCP Freenet
213.180.94.104
84.204.225.134 1676
80 ruleset_drop_packet
drop
rev=1 ipdatalen=28 tcphdrlen=28 syn=1


Причем не работает даже ping с тем же самым Default_Access_Rule. Я могу поподробнее, если надо. Вопрос: должен ли работать wan2 на вход, или только wan1 для этого предназначен?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 03, 2007 17:54 
1. Нет, не поддерживает
2. FQDN в качестве end-point не поддерживается
3. Для этого нужно настраивать PBR. По дефолту ответы отправляются на маршрут по умолчанию активного канала. Нужно настроить PBR, чтобы ответы по пришедствию со второго провайдера отправлялись туда же.


Вернуться наверх
  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 03, 2007 19:34 
Не в сети

Зарегистрирован: Вт апр 03, 2007 13:13
Сообщений: 22
Откуда: Санкт-Петербург
2. Это неудобно. Я заметил, что и в Tools -> Ping тоже не поддерживается...

3. Значит должно работать. Тогда буду дальше смотреть.

Кстати, в логе, вроде, Drop происходит еще до маршрутизации ответа. Вот, например, я пингую по одному и другому адресу:
Изображение
На интерфейс wan1 (Interzet) проходит, а на wan2 (Freenet) - нет. В логе указаны один и тот же адрес отправителя и адреса интерфейсов.

Все IP Rules на интерфейс core у меня такие:
Изображение

Или я неправильно понимаю этот лог?

А PBR - это Routing Rules? Тогда я это настраивал. И даже для первого провайдера работало, когда я по умолчанию маршрутизировал через второго.
Я еще посмотрю и напишу поподробнее, если не возражаете? Что надо будет указать? Routing Tables и Routing Rules?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 03, 2007 19:39 
Не в сети

Зарегистрирован: Чт ноя 02, 2006 18:45
Сообщений: 2641
Откуда: Челябинск
Зачем нужно второе правило?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 03, 2007 19:40 
Да, нужно настроить Routing Tables и Routing Rules.
Если не получится, пишите на мыло с тем что не получилось.


Вернуться наверх
  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 03, 2007 19:54 
Не в сети

Зарегистрирован: Вт апр 03, 2007 13:13
Сообщений: 22
Откуда: Санкт-Петербург
2Beliar
Цитата:
Зачем нужно второе правило?

Чтобы открыть весь ICMP протокол из локальной сети. Пока отлаживаю. На всякий случай.


2Stanislav Kozlov

А что скажете по поводу лога? Этот drop произошел разве не до того, как попал внутрь устройства? Тогда смысла нет смотреть обратные маршруты: до этого ведь дело не дойдет. Или в чем я ошибаюсь?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 04, 2007 06:28 
Не в сети

Зарегистрирован: Чт ноя 02, 2006 18:45
Сообщений: 2641
Откуда: Челябинск
Разрешить куда? Почему Destination Core?
Второе правило аналогично, что за vl_net?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 04, 2007 11:30 
121.24 у Вас основной канал, по этому туда пинг и проходит, а как раз для настройки альтернативного шлюза нужно использовать PBR


Вернуться наверх
  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 04, 2007 13:42 
Не в сети

Зарегистрирован: Вт апр 03, 2007 13:13
Сообщений: 22
Откуда: Санкт-Петербург
Итак, после долгих экспериментов выяснил следующее.

1. Правило Default_Access_Rule применяется до того, как пинги приходят внутрь, т.е. не доходит даже до применения IP Rules для фильтрации и перенаправления трафика.
2. Если PBR не задавать, то все пинги (и другие протоколы) проходят, правило Default_Access_Rule не появляется в логе, но возникает проблема с возвратом трафика на неосновной канал.
3. Если задать два таких (или аналогичных) PBR, то второй интерфейс (независимо от того, основной он или нет) перестает принимать трафик дропая его по правилу Default_Access_Rule. Трафик, инициированный изнутри, ходит нормально.

Изображение
Этими правилами я хотел указать, чтобы весь трафик уходил туда, откуда пришел (независимо от того, какой у меня канал сейчас основной). К каждому правилу привязана таблица маршрутизации через соответсвующий интерфейс. Однако, если одно из правил убрать, то все начинает работать.

Что я делаю тут не так? Я думал, что PBR обрабатываются по очереди до первого совпадения. А тут, оказывается, совсем другой алгоритм. Есть у кого-нибудь комментарии по этому поводу?

Еще в процессе экспериментов обнаружил, что сохраненная (рабочая) кофигурация после обратной загрузки может оказаться ошибочной с точки зрения устройства.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 04, 2007 13:47 
1. Алгоритм работы устройства и последовательность обработки(блок схема) рассмотрена в мануале.
2. У меня есть пример нужной вам конфигурации, можете обратится ко мне на емайл и я Вышлю Вам её


Вернуться наверх
  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 04, 2007 14:10 
Не в сети

Зарегистрирован: Вт апр 03, 2007 13:13
Сообщений: 22
Откуда: Санкт-Петербург
Beliar писал(а):
Разрешить куда? Почему Destination Core?
Второе правило аналогично, что за vl_net?


Правило можно удалить. Это к вопросу вообще никакого отношения не имеет. Или Вы считаете, что имеет? Тогда излагайте вашу мысль.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 04, 2007 14:11 
Не в сети

Зарегистрирован: Чт ноя 02, 2006 18:45
Сообщений: 2641
Откуда: Челябинск
Эти правила не разрешают прохождение трафика через устройство, вот роутер и дропает пакеты.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 04, 2007 14:21 
Не в сети

Зарегистрирован: Вт апр 03, 2007 13:13
Сообщений: 22
Откуда: Санкт-Петербург
Beliar писал(а):
Эти правила не разрешают прохождение трафика через устройство, вот роутер и дропает пакеты.


В таблице были приведены только правила на интерфейс core. Для пинга снаружи этого достаточно, поскольку ему все равно не пройти за NAT. Устройство само должно отвечать на пинг. Однако, тут и была проблема.

Для прохождения с одного интерфейса на другой через устройство у меня есть другие правила. Впрочем, и там была та же проблема с внешним входящим трафиком и правилом Default_Access_Rule. Внешний трафик проходил только с одного интерфейса. Трафик, инициированный изнутри ходил в обе стороны через любой интерфейс без проблем.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 136


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB