Добрый день.
DFL-800 2.12
lan 192.168.0.0/24
wan1,wan2 - разные провайдеры

Не получается пинговать шлюз из нешних сетей на wan2
правила поставил одинаковые на wan1 и wan2
PingToWan1 (PingToWan2)
allow
ping-inbounf
none
any |cope
all-nets | wan1_ip (wan2_ip)

не пойму почему с наружи wan1 пингуется а wan2 нет.
Зстрял уже на этом месте
вообще то цель сделать доступным внутренний сервер 192,168,0,250
достпупным по двум каналам сразу с внешних сетей по портам (25,110,443)


наверное дело в Routig
где рыть ?

DisableType Interface Network Gateway LocalIP Metric RouteMonitor Comments
Route wan2 wan2net 100 No Direct route for network wan2net over interface wan2.
Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
Route lan lannet 100 No Direct route for network lannet over interface lan.
Route wan2 all-nets Wan2_GW 100 No Default route over interface wan2.
Route wan1 all-nets Wan1_GW 90 Yes


заранее Спасибо за помощь

Для того чтоб работал проброс портов одновременно с 2х интерфейсов вам надо настроить PBR.
Создайте еще одну таблицу маршрутизации (only), где будет присутствовать только wan2 к all-nets.

Затем вам надо создать правило маршрутизации, выглядеть оно будет примерно так

Forward Table: main
Return Table: созданная таблица маршрутизации
Service: all_services

фильтры интерфейсов будут такие
wan2 -all-nets -> any - all-nets

Прокомментируйте.

есть wan1 и wan2.

роутим по метрике на wan1.

wan1 пингуется, wan2 не пингуется. порт 80 на wan1 доступен (в dmz перенаправляется), порт 80 на wan2 доступен.

роутим по метрике на wan2

wan1 пингуется, wan2 пингуется, порт 80 доступен и на wan1 и на wan2.

Это как это?

ps: pbr имхо тут не нужен..
pss: у меня правда dfl-1600, прошивка 2.12

_________________
Дорога без конца, дорога без начала и конца...

Это Баг, в новых версиях прошивки такого не происходит.

мне тоже подумалось что баг

полез на ваш фтп. увидел 2 новых прошивки в каталогах 2_20 и 2_20_01.

Предполагаю что надо ставить 2_20_01 но мало ли, уточните плиз.

viewtopic.php?t=11222

здесь пока информация не обновлена.

Спасибо.

_________________
Дорога без конца, дорога без начала и конца...

Да 2.20.01 последняя прошивка и её мы рекомендуем устанавливать.

Установил последнюю прошивку. wan2 по прежнему не пингуется. Сбрасывать к заводским и заново забивать конфигурацию не стал пока.

_________________
Дорога без конца, дорога без начала и конца...

хм.. после того, как было настроено по мануалу с фтп автоматическое переключение каналов, + прописаны правила для пинга wan2 все стало пинговаться и работать без проблем,

НО, тут фишка, может это мои некорректные "руки", одно соединение (PPPoE), если оба провайдара нормально работают, пингуется с задержкой в 28-30 мс, как только из wan2 пропадает сигнал - то пинги становятся 1-2 мс. Этот факт подтвердил и провайдер (PPPoE), сами пингуем без каких либо задержек по любому провайдеру до их ДНС серверов.

и еще,

1. --- после того, как за услуги по первому провайдеру (PPPoE) не было уплачено (там мы получали внешний ip и он был жестко прописан в самом соединении вместо 0.0.0.0) мы получили внутрений ip 172.16.*.* - об этом нам сообщила DFL сама в коннекте. Так вот проблема заключается в том, что PPPoE соединение висело, по нему трафик не ходил, DFL упорно я так понимаю не хотела переключаться на WAN1. после того, как мы выдернули из WAN2 кабель, переключения так же не произошло!, хотя до этого все работало и неоднократно проверялось, настройки не менялись, добавляли лишь правила, которые перенаправляли трафик не только http-all и ftp на другого провайдера (PPPoE как раз), но и другие сервисы. ощущение, что DFL сейчас не может тупо определить, что у нее нет коннекта по PPPoE и не пускает трафик вообще никакой по WAN1, для нормальной работы организации тупо были отключены правила перенаправления, но это не решае проблемы...

2. --- можно как-то один PPTP сервер на оба интерфейса развернуть?, ставлю в св-вах PPtP сервера группу интерфейсов WAN1-PPPoE + конечные ip адреса их, не цепается, говорит, что нет доступа к данному серверу соединений.

Вам надо разрешить чтоб wan2 пинговался правилом, и проделать то что я описал выше с PBR

Несколько вопросов:

1) как я описывал выше, когда приоритет у wan1, то wan1 пингуется, а также пробрасываются порты в дмз зону как при обращении к wan1, так и к wan2. Если приоритет маршрута сделать на wan2, то все также работает и оба wan'а пингуются. Исходя из этого, мне кажется в идеале здесь не нужен pbr и это таки бага, которую не исправили и в этой новой прошивке. Можете успокоить меня своим согласием с этой точкой зрения?

Я создал pbr
wan2 all-nets core wan2_ip ping-inbound
forward table: main
return table: wan2_only (wan2 all-nets wan2_gtw)

пинги пошли. правило было.


2) могли бы вы объяснить логику параметров forward table и return table в pbr.. при пропуске того же пинга к себе использовалось в ft: main, а в rt: wan2_only

в случае когда я принудительно хочу некий трафик запустить скажем через wan1, то я прописывал ft: wan1_only, а rt: main

при этом принцип какую таблицу надо пихать в ft и rt мне непонятен, также как и логическая цепочка работы этого функционала. Ы?


3) по поводу документа wan failover for two ISPs using policy based routing (как русского, так и англоязычного).

Я решил попробовать в соответствии с ним выполнить поставленную в нем задачу: разделить трафик по wan1 и wan2 и + при падении дефолтного (wan1), весь трафик перекинуть на резервный wan. Написал pbr по запуску пинга на некий ip в инете через wan2. при этом использовалась новая таблица с двумя маршрутами wan2 с метрикой 70 и wan1 с метрикой 80. Выдергиваем шнурок из wan1 и пинг не идет через wan2. Не идет пока я в этой новой таблице у wan1 не поставил галочки monitor this route. После этого пинг идет через wan2. В документе не отражено выставление данных галочек в доп. таблице (в примере обзывается как r-pppoe).

Либо там ошибка, либо я неверно понял этот документ. ы?

---------------------------
note: На практике же приходится подключать резервный канал ручками, потому как на практике 2 аспекта мониторинга не срабатывают.. коннект с конвертером есть, шлюз доступен, а инета нету приходится ручками.. Можно несколько упростить себе задачу, пойти и выдернуть шнурок из wan1, но тогда не проверить поднялся wan1 или нет.. В случае же без выдергивания шнурков я с помощью pbr завел принудительно пинг на некий сайт через wan1 и с его помощью могу проверять ожила связь на wan1 или нет. Как вариант.

_________________
Дорога без конца, дорога без начала и конца...

тоже с этим траблы, я во второй таблице маршрутизации поставил мониторинг по линку + Gateway Using ARP Lookup. - заработало, но проверить нет возможности при отключении PPPoE, т.к. сейчас только один провайдер...


как должно быть правильно?

Конкретизируйте, а что вам нужно?

note: Если вопрос в тему как переключать руками, то в main table у меня на wan1 метрика 70, на wan2 - 80. Сдох wan1 где-то там, меняем у wan2 метрику на 60. Время от времени пингуем например ya.ru, который принудительно пингуется через wan1 с помощью pbr. Запинговался, можно обратно поменять. При этом у меня для всего трафика используется wan1. wan2 чисто как резервный + vpn на него повесил, чтобы не простаивал. Если разбивать трафик по двум каналам одновременно, то надо использовать pbr с дополнительными таблицами маршрутизации. В данном случае видимо придется и в них ручками менять метрику. Больше таблиц, больше геммороя, поэтому я бы не увлекался

_________________
Дорога без конца, дорога без начала и конца...

мне надо:

настроить автоматическое переключение между двумя WAN-каналами от двух провайдеров услуг при отказе одного из них.

для этого изучил мануал и следовал строго!, но не работает DFL-800 как должен по мануалу, маршрутизация при отключении PPPoE осуществляется по дополнительной таблице, и не переключается на <main> до тех пор, пока не заблокируешь правила pbr-http-all и pbr-ftp или же пока не установишь мониторинг PPPoE маршрута в таблице r-PPPoE-client

В целом я так понимаю всё у вас получилось уже, по поводу отсутствия информации в доке о включении мониторинга в доп. таблице я писал выше.

В целом подход как и в доке:

скажем в main table роут на wan1 metric 70 на wan2 metric80. Роут на wan1 мониторим по двум параметрам (тот роут что с шлюзом. А тот роут что на подсеть, полагаю необязательно). Мониторить роут wan2 полагаю тоже не нужно.

Правила на all-wan на все сервисы прописали. Все ходит через ван1, если выдернуть шнурок, должно пойти через ван2.

Теперь создаем доп. таблицу 'alter' и в ней пишем маршруты
на wan2 metric 70, на wan1 metric80. ставим мониторинг на wan2.

создаем pbr на сервисы, которые нужно запустить через wan2. таблицы: forward: alter, return: main. В правилах pbr указывая интерфейс, говорим wan1 - тут логика типа: если это прётся через wan1, то... и отрабатывает правило используя таблицу 'alter'

по идее этот трафик пойдет через wan2. если выдернуть шнурок из wan2, то должен пойти через wan1.

После всей это настройки можно подождать минут 5-10, а потом поочередно повыдергивать шнурки wan1 и wan2 и посмотреть перенаправляется ли трафик. Я в процессе научного тыка изменения вносил при выдернутом шнурке и устройство почему-то не сразу врубалось что он выдернут, несмотря на включенный мониторинг.. Поэтому у меня не сразу заработала комбинация, которая была работоспособной

Тестировать логику и правильность настройки pbr и всего остального удобно с сервисом ping. запускаешь tracert и видишь по какому маршруту пинг пошел.

_________________
Дорога без конца, дорога без начала и конца...

а по доку и тот и друой мониторить надо


- этого в инструкции не указано! - но так работает, согласен