Можно ли сделать следующий финт:

Имеется DFL-210 на 1 стороне. Подключение к WAN по Ethernet, провайдер даёт 2 адреса, авторизация PPoE к каждому.
Первый используется для выхода именно в инет, второй - только
для подключения по IPSEC ко 2-му офису.
На DMZ подключение к интернет от другого провайдера через DSL-модем, работающий в режиме Bridge, выделяется статический адрес. Должен использоваться при неработоспособности первого.
Внутренняя подсеть - 192,168,0,0

На другой стороне - DI-804, также авторизация по PPoE,
выделенный IP. Оборудование менять нельзя.
Резервирования нет.
Внутренняя подсеть - 192,168,1,0

Вопросы:
1) можно ли использовать несколько PPoЕ на 1 интерфейсе,
соответственно, иметь несколько "логических" подключений
при 1-м физическом
2) как сделать, чтобы при пропадании физики до первого провайдера автоматом использовался второй?
3) DI-804 не даёт возможности сделать 2 туннеля по IPSEC
с одной и той же внутренней подсетью на другой стороне -
как обойти ограничение?

Не уверен. Вроде, нет. Можно искусственно увеличить кол-во физических интерфейсов с помощью коммутатора 2-го уровня с поддержкой VLAN 802.1q.

Опять же, не получится. В данный момент PPPoE соединение не мониторится. Но это, видимо, решится с появлением ICMP мониторинга в новой прошивке, ожидаемой в 1 квартале сего года.

Тут вообще ничего не скажу. Нет идей.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Т.е. вообще никак? Вообще-то думалось, что данная задачка аппарату по силам. Тогда какой вариант есть еще? (только от D-Link)

Для 1-го вопроса может быть подойдет вариант с назначением дополнительного IP адреса на WAN или DMZ интерфейсе. Но его надо иметь от провайдера. И прокатит ли в принципе, не знаю.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не знаю как на деле (РРРоЕ доступа под рукой нет), но 2 РРРоЕ интерфейса на один физический добавились нормально.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Зачем вам поднимать два тоннеля на DI?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Наверное я не совсем понятно объяснил.
Постараюсь сделать это лучше.

Есть центральный офис (ЦО), в котором 2 провайдера.
Оператор №1 (О1) даёт приемлемую цену на внешку и низкую цену внутри себя (IPSEC до доп. офиса), является основным рабочим, но подключение осуществляется по 1 физической линии, но по 2 PPoE-шным подключениям.
Также в ЦО есть резервный канал через другого оператора №2 (О2) с высокими ценами.

Есть дополнительный офис (ДО), где расположен главный сервер, к которому также предоставляет доступ оператор О1, соответственно, цены на локаль низкие, в инет - высокие, но там внешка почти не нужна.
Там стоит DI-804, посредством которого и осуществляется туннелирование между этими 2-мя офисами.

Итого, через первый туннель О1_ЦО<->О1_ДО мы работаем в основном режиме, через второй О2_ЦО<->О1_ДО - при неработоспособности О1 в ЦО. Железка в ЦО должна сама отрабатывать переключение между операторами, остслеживается именно физика - если народ в ЦО замечает, что О1 отвалился, то вынимает из WAN DFL-210 шнурок от O1 и втыкает шнурок от O2, автоматом должен быть поднят туннель до доп. офиса. Когда О1 сообщает, что проблема устранена, происходит обратное переключение на него, т.е. перетыкание шнурков, которое железо должно само отработать.

У каждого подключения адреса "белые", внутренние подсети различные с маской 255.255.255.0. По условиям задачи в связи с наличием специфичных настроек менять адресацию в локалках нельзя.

К заданному вопросу - DI-804 не умеет
а) работать с туннелями, у которых 1 и тот же WAN-адрес удаленной подсети
б) работать с туннелями, у которых 1 и та же локальная подсеть

Если бы была балансировка по 2 туннелям до 1-й и той же точки подключения - было бы вообще прекрасно. 1 подох -поднимаем другой, и т.д.

На DI такое не сделаешь, только с DFL. Секюрный механизм IPSec не позволяет поднимать два тоннеля в одну удаленную сеть. На DFL это обходиться при помощи разделения по метрикам и мониторинга статуса. На DI таких механизмов нет.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Не понял. чего именно не сделаешь? Если с DI в удалённую подсеть с 2 разными wan и одинаковыми lannet - понятно, что оно такое не умеет. И как раз DFL пытаюсь помучать - в комбинации с "недороутером" с другой стороны.

Что получилось сделать - может у кого-то возникнет что-то наподобие - , от провайдера 2 PPPoE-подключения по 1 WAN-интерфейсу. Удалённый DI-804. До него IPSEC. По PPPoE_1 гуляем в инете, если пытаемся подключиться к DI-804 в другом офисе - маршрутизируемся через PPPoE_2.


Осталось на DMZ прилепить еще одного провайдера по опять-таки PPPoE (PPPoE_3) (не проблема, уже настроено, но деньги кончились на нём и экспериментов не проведёшь), и наладить failover между PPPoE_1+PPPoE2 и PPPoe_3 резервного провайдера вместе с переключением IPSEC_туннеля через "левую" виртуальную подсеть - вроде так вырисовывается, а что там в итоге получится...

Получилось нормально средствами самого 210-го - хоть сколько вешай. Естественно, у каждого PPPoE-шного интерфейса выдаваемый оператором "белый" адрес - "белый" он для ipsec и для кое-чего еще, не относящегося к данному вопросу.




мне не надо мониторинга PPPoE, мне надо мониторить WAN_PHYS, чтобы если вдруг инет пропал, то особо приближённый юзер клиента просто перетыкнул шнурок, т.е. выдернул первого прова из WAN и воткнул второго в DMZ - именно таково требование клиента. пробуем что получится.


Самая интересная на мой взгляд задачка. Завтра буду поиграть с ней.

wan_phys можете мониторить по линку или шлюзу, пример переключения тут http://www.dlink.ru/ru/faq/85/576.html

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.