wan1 и wan2 имеют 2 реальных ip адреса от двух разных провайдеров, настроены правила для проброса(мапинга) с инета как с wan1 так и с wan2 в локалку на www,smtp и тд... всё отлично работает.

настройки по доке "how to configure wan load sharing and failover for two ISPs"

Как только поднимаю PPTP Client-перестаёт работать проброс(правила SAT) причём в логах тишина....

интерфейс "PPTP Client" объеденён в одну группу с wan1 и wan2(чтоб одни и тебе же правила не писать ещё для него отдельно) и поднимается с минимальной метрикой, чтоб весь трафик по умолчанию гнался через него.

Правило для него писать надо отдельное, т.к. IP адрес у него свой.

В группе этот адрес работать не будет. Т.к. это неисправленный баг.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Убрал интерфейс PPTP Client из группы WAN1-2 результат тот же. SAT правила так и не работают

удалил PPTP Client сразу заработали....куда копать????

В клиенте PPTP установлена какая remote_network?

all-net 0.0.0.0/0

Ну вот и все стало ясно, у вас метрика на PPTP меньше (более главная) чем на остальных интерфейсах, поэтому он не отвечает с других интерфейсов. Для исправления даннйо ситуации вам надо корректно настроить PBR, что устройство отвечала с того интерфейса на который приходит трафик.

Сергей, спасибо!!! заработало всё

Сергей, Вы можете объяснить, почему надо что-то настраивать для того, чтоб устройство ответило с того же интерфейса? Мне кажется, это должно быть естественным поведением. Потому, что не устройство инициирует соединение, а нечто извне.

Или я слишком мечтателен?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Устройство строго следует политики маршрутизации, поэтому настраивать и надо, если уже есть маршрут к all-net с более высоким приоритетом, то сначало отработается именно тот маршрут.

Для соединений, иницированных рутером, это естественно. Для входящих же соединений естественно отвечать туда, откуда пришел запрос. Так же, как естественно отвечать дяде Пете на заданный им вопрос, а не дяде Васе, даже если вы его больше любите.

Тогда вопрос, который давно хотелось задать. Если уж у DFL такое поведение, можно ли его настроить таким образом, чтобы весь входящий трафик шел на один интерфейс, а весь исходящий с другого интерфейса? Разумеется, с подменой через SAT адреса отправителя на адрес интерфейса для входящего трафика?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это уже асинхронная передача данных, DFL этого делать не сможет, но вот перенаправить определенный трафик с одного интерфейса на другой и подменив его scrip можно, мы перенаправляем правилом SAT, а затем натим.

а вопрос, как реализовать такую схему: вёб сервер опубликован для двух WAN-интерфесов, т.е. SAT, хотелось бы чтоб вёб-сервер смог отвеать на запросы клиента, в общем случае, одного и того же клиента, независимо от того на какой ван-интерфейс дфла пришёл запрос, т.е. чтоб вёб-сервер был доступен по двум этим ип-адресам для любого клиента из внешки.

...как тут было сказано, ответный пакет уйдёт по наименьшей метрике, т.е. в сторону какого-то конкретного интерфейса, т.е. если пришло с другого, то баста.

ваши мысли как реализовать интересующий функционал на дфл?


зы. у меня есть мысль, но вдруг уже есть красивое и главное провереное решение

Стандартно, альтернативная таблица маршрутизации, и PBR правило такого вида.

Forward Table: main
Return Table: альтернативная таблица

Фильтры интерфейсов.
Source interface: интерфейс на который приходит трафик.
Source network: all-nets
Destination interface: any
Destination network: all-nets

Sergey Vasiliev, спасибо за ответ, видимо я всё ещё не проникся всей идеалогией dfl'ов т.к. PBR'ом разруливаю исходящий трафик в зависимости от вланов, думал, что "если что", то разрулю повесив на вёб сервер два ип-адреса каждый в своём влане, и тогда всё у меня заработает, т.к. винда вполне корректно определяет с какого физического/виртуального(влана) приходит коннект и ответ отправляет туда же.

ещё раз спасибо, надо будет на досуге переосмыслить возможности дфл'а