Ситуация:

lan 192.168.1.1
lannet 192.168.1.0/24
Имееются два рабочих ipsec тунеля и сервер PPTP, работающие через wan1 интерфейс.

Задача:

Надо чтобы ipsec тунели работали через wan1 интерфейс, а PPTP сервер работал через wan2 интерфейс.

Решение:

Решил настроить это согласно статье http://www.dlink.ru/technical/faq_firewall_54.php. При этом решил весь трафик направить на wan2 интерфейс, а если это ipsec трафик то направить на wan1

1. В таблице main весь трафик по умолчанию идет на wan2
2. Создал дополнительную таблицу маршрутов alt
wan1 - all_nets - wan1_gw
3. Создаю правило 2 правила Routing Rule:
General: alt - main- all_nets
Adress Filter: lan - lannet ipsec_tunnel_1 - remote_net_1

Не работает.

Вопрос:

1. Как определить и перенаправить ipsec (или PPTP) трафик на другой интерфейс.
2. Как по другому(или лучше) разрулить трафики?
3. Где у меня неправильные настройки?

Не решайте все проблемы разом. Разделите их и решайте по одной. Вам надо:
1. отдельно пустить исходящий трафик через WAN2
2. Заставить WAN2 отвечать на входящие запросы для работы PPTP сервера.

В общем случае для задач 1 и 2 разные правила маршрутизации, а альтернативная таблица маршрутизации вполне может быть одна.

3. Маршрутизация между интерфейсами IPSec/PPTP и правила никак не связаны c PBR. Видимо, их изменения не коснутся вовсе.

Это вам решать, как лучше организовать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Собственно и непонятно как это сделать, если тупо прописивать маршруты то работают токо те у кого метрика ниже, я так понял чтобы заработал другой маршрут нужен переброс на алтернативную таблицу и тогда должен заработать другой маршрут, но не могу понять на основание чего должна меняться таблица.



Может я не совсем понятно написал, мне нужно настроить маршрутизацию с lannet на IPSec и lannet на PPTP, мне с IPSec на PPTP не надо.

В старой конфигурации все работало нормально?

Еще раз. Делайте все задачи порознь по очереди.

Сначала пустите исходящий трафик через WAN2. Это должно быть просто. Надо будет маршрут по умолчанию через WAN2 сделать с меньшей метрикой и разрешить правилами.

Возможно после этого перестанут работаь IPSec туннели через WAN1. Тогда маршруты до их EndPoint'ов через WAN1 надо будет записать в таблице маршрутизации отдельно.

После этого надо двигаться дальше.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это у меня работает, и после этого соответственно туннели не работают.



Это я таблицу я тоже прописал, вот токо как на нее переключиться, что задать в качестве условия, я не могу понять?

Не мудрите. Пропишите их в таблице main.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Как это сделать? Это вариант я уже пробовал и у меня не получается.

У меня в подобной схеме на DFL-210, чтобы работал IPSec через другой интерфейс, прописан маршрут в таблице main

Route wan1 IPSec_DFL-800_ip wan1_defaultgw_ip 90 No

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Пробовал, такой вариант не работает.

Могу ответить только, что должен работать. Можно проверить, как идет трассировка на этот хост. Проверить также System -> Routes

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Можете на примере расписать ваши настройки? Это бы сильно помогло.

Tут ничего особо не распишешь.

Interface: wan1
Network: IPSec_DFL-800_ip
Gateway: wan1_defaultgw_ip
Local IP Address: (None)
Metric: 90

IPSec_DFL-800_ip - адрес другого конца IPSec тоннеля

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это я знаю как делается, меня интересует на примере адресов, потому что у меня Ipsec настроено как устройство, потому мне и не понятно что за адрес Ipsec_DFL-800_ip , куда идет wan1_defaultgw_ip...

Создается впечатление, что не вы настраивали DFL.

Ipsec_DFL-800_ip - удаленный адрес, с которым устанавливается туннель
wan1_defaultgw_ip - шлюз по умолчанию на wan-интерфейсе.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Настраивал DFL я сам, просто у меня работало все через один wan интерфейс, но не получается настроить чтоб одновременно два wan интерфейса работали. То что вы пишите здесь это я уже все проверил в первую очередь, и вот так просто это вопрос не решается. В офицальном мануале этот вопрос прописывается через создания алтернативной таблицы маршрутизации, с нее и начинался топик. Каким образом работает у вас вариант который вы пытаетесь тут описать, не понятно??? У вас самих DFL 800 работает одновременно на двух wan интерфейсах???