Добрый день, коллеги.
По моим предыдущем сообщениям в этом разделе вы имели возможность понять, что я пытаюсь организовать на базе DFL-210 доступ в инет через 2 канала и поднять на нем PPTP-сервер. Так вот, тут я попытаюсь поднять именно тему по 2-му каналу, который обеспечивает провайдер авангард. Ибо с 1-м провом, Корбиной, вроде все более-менее нормально.
Дано:
1. 2-й канал по ADSL, IP внешний белый, роутер DSL-2640U. Его LAN - 192.168.21.0/24, IP=192.168.21.1
2. Этот роутер связан с DFL-210 через порт DMZ, который в свою очередь сконфигурирован в 192.168.21.0/24, IP=192.168.21.2, GW=192.168.21.2.
3. В ip rules прописано правило allow dmz all-nets core dmz-ip ping-inbound. Другие правила пока прибил, надо хотя бы для начала пинги заставить ходить, а так до этого выставлял и all-service с точно таким же результатом.
4. Пингуется со сторонней сетки внешний белый IP.

По идее (т.е. по логике устройств и здравому смыслу) - пинги должны ходить. Но не ходят. При этом, если поменять метрику в routes на более приоритетную - маршрутизация LAN в интернете вместо корбины начинает работатчерез авангард. Т.е. канал как бы исправен.
Далее проделываю такой эксперимент: выдергиваю шнур из DMZ-порта DFL-210 и втыкаю его в машину на W2003 сервер, сетевушка которой сконфигурирована точно также, как и DMZ-порт. В "обычной жизни" эта карточка, естественно, никуда не подключена и забанена. Так вот, после проделывания такого опыта пинги тут же начинают ходить, vpn-туннель - поднимается и т.д. Т.е. никаких фильтров со стороны авангарда нет.

Вообще не понимаю - где грабли искать?

http://www.dlink.ru/ru/faq/85/576.html
http://forum.dlink.ru/viewtopic.php?t=65359&start=14

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Коллеги, при чем тут PBR когда просто доступ извне не работает?
Как мне кажется, надо сначала настроить чтобы ОБА канала работали, и только потом - поднимать PBR...

так и только так.

Лучшая практика работы с ADSL модемами в паре c DFL - модем ставить в режим моста, а на DFL настраивать PPPoE интерфейс. Он собственно и будет вторым WAN каналом.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

а вы пробовали на любом компьютере с 2мя сетевыми картами (допустим тоже в и-нет смотрять) указать 2 шлюза по умолчанию (т.е на all-net) на обоих сетевухах.
оно что будет работать? =)

Есть какие-то другие способы, кроме моста? У меня авангард тв подключен - сильно сомневаюсь, что он будет работать при настройке модема в режим моста.


Будет работать сетевуха, метрика которой меньше.
Тут вопрос в другом - нет доступа извне. Не с локалки в интернет, а с инета даже до роутера.

ну у вас именно так и работает DFL выже сами написали :

Вообщем вам уже посоветовали использовать PBR если выхотите с обоими провами сразу работать, а с TV - ну на корбине людиже смортя Tv через DFL-210, и вы сможете..., просто сидеть настраивать надо как собственно и всё остальное на DFL.

Другой (плохой) способ - это, видимо, как у вас: модем в режиме рутера. Тогда для доступа извне всегда придется делать двойной проброс портов из-за двойного NAT. Брр-р-р!

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

[quote="YuriAM"][quote="AlexeySpb"]Коллеги, при чем тут PBR когда просто доступ извне не работает?
Как мне кажется, надо сначала настроить чтобы ОБА канала работали, и только потом - поднимать PBR...[/quote]так и только так.

Лучшая практика работы с ADSL модемами в паре c DFL - модем ставить в режим моста, а на DFL настраивать PPPoE интерфейс. Он собственно и будет вторым WAN каналом.[/quote]
а чем плохо - модем в режиме half-bridge ?
"IP extension" чекбокс воткнуть и с DHCP все отлично работает.
столь же прозрачно как и в случае моста(но отпадает потребность конфигурировать PPoE на модеме).
преференции MAC-IP только DHCP-у выставить(адресс все одно раздаваться буит но "береженого бог бережет").

Azzyx:
А где это в 2640 выставляется?

[quote="AlexeySpb"][b]Azzyx[/b]:
А где это в 2640 выставляется?[/quote]
в настройках WAN-интерфейса.
там где пассворд и имя аккаунта указываете и режим +бриджинг ppoe-пакетов в lan итп. те перед управлением NAT и SPI(оба необходимо отключить).