Доброго времени суток всезнающий АЛЛ
Есть пара фаерволов 210 и 800
на ван портах на данном этапе настроены белые IP все ходят в инет и между этими адресами поднят стандартный IPSec. Вроде бы счастье близко, но есть одна проблемма если тунель поднят через белые ип то трафик считается не как внутренний а как инет трафик и посему достаточно дорого получается.
Провайдером выданны еще пара ИР из сетки 192.168.0.0 если настроить тунель через них то стоимость трафика падает на порядок а то и больше
Подскажите куда рыть. Белые Адреса еще используются для подключения мобильных клиентов так что полностью их убрать нет возможности

Нарисовал картинку с адресами красная линия впн который есть сей час, зеленое то что надо сделать но с сохранением белых адресов так как удаленных клиентов через инет ни кто не отменял

Серые Адреса выданы как vlan? или просто еще одни адреса на физический wan?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

еще одни адреса для каждого маршрутизатора для ван интерфейса.
то есть если я ставлю серые ип на каждый ван то я могу и поднять впн и ходить в инет но не могу подключится мобильным клиентом так как из инета серость не видна

На сколько я понимаю мне нужно сделать впн тунель между двумя маршрутизаторами основываясь на серых адресах. После сделать паблик (при помощи арп) белых адресов на интерфейсы ван этих маршрутизаторов и потом настроить проброску сервиса ипсек на серые адреса
Так или не так просто у меня все это работает и ни кто не даст тормозить на долго. Очень хочется получить для начала квалифицированный ответ тудали я двигаюсь и не наступлю ли на грабли

Если эти серые сети связаны, вам просто надо прописать на DFL маршруты до серых адресов друг-друга, затем использовать эти адреса для подняятия тоннеля.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Ну спасибо буду ночью пробовать

Вообщем попарил я мозг и ни черта не получилось
Срулил в отпуск пришел, но проблемма осталась

Проблемма вот в чем
Я видимо на столько туп что не могу понять принцип действия SAT и какие правила нужны для того что бы можно было хотя бы пропинговать второй адрес

Нет. Тут никаких SAT не надо.

У вас оба DFL получают у провайдера белые IP посредством VPN подключения?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Нет мне дали на каждый маршрутизатор по 2 статичных ип серый и белый
У меня затык в следующем
КАК ПРИВЕСИТЬ 2 адреса (наружняя маршрутизация работает) на один WAN интерфейс
В циске я делал алиас и прописывал второй ип все
Можно ли сделать такое в длинке

Нет вы не можете прописать два IP на это устройство.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Сергей. Вы хотите сказать что на DFL невозможно повесить на интерфейс дополнительный IP-адрес из новой подсетки?

Если так невозможно, то можно попробовать договориться с провайдером выдать доп адрес через VLAN 802.1q. Так получится доп. независимый интерфейс.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

На DFL можно. я про серию DI/DIR. но тут слечай особый, в обсалютно другой сети, через aliase IPSec не поднять.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Ну а для какой тогда цели существует publishing ARP
Вырезка из Гвайда к DFL-800

Насколько я понимаю тут написано что publishing ARP может использоватся для производства впечатления, что у интерфейса в NetDefendOS есть больше чем один IP адрес. Только как заставить это работать я не знаю

Ну так что возможно это сделать или нет