Здравствуйте.

Дано: D-Link Firewall 2.20.00.26-4234

На устройстве настроены два VPN клиента Корбины. Один PPTP и один L2TP. На одном лимитный тариф, на другом безлимитный. Задача: один из ПК с торрентами должен качать через безлимитный тариф, все остальные через лимитный. Все на первый взгляд работает. Была создана таблица маршрутизации:


В правилах маршрутизации создано соответствующее правило:

где InternetWANs это:


Правила доступа настроены соответствующим образом, исходящие соединения с NotebookAsusLAN_IP корректно уходят на интерфейс CorbinaPPTP_bezlimit. Но заметил, что SAT правила, которые до создания правила маршрутизации работали, вдруг перестали работать после такого создания. Например:



Если перевести в состояние Disable правило маршрутизации, то внешние пакеты начинают проходить с интерфейса CorbinaL2TP на нужный IP. Почему такое происходит и что нужно подправить, чтоб с интерфейса CorbinaPPTP_bezlimit пакеты пробрасывались на определенный IP:порт. Повторюсь - исходящие пакеты идут на нужный интерфейс.

Спасибо.


p.s.Проверка осуществлялась сниффером на ПК, куда должны идти пакеты с нужного интерфейса.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Проблема решена установкой галочки Security/Transport Equivalent для группы интерфейсов InternetWANs.

Вопрос к техподдержке: какой эффект оказывает данная галочка (в мануале довольно скудно написано об этом)?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

И чего тут не понятного и расплывчатого?

Тем, что в моем случае отнюдь не "where connections might need to be moved between the interfaces". У меня явное желание, чтоб одно устройство ходило через один интерфейс, а другое через другое. И без галочки это все происходит успешно. А вот входящий пакет, приходящий на конкретный интерфейс, дропится. К слову, если в группу объединить интерфейсы, например, локальной сети провайдера и PPTP туннель, то и без галочки все работает корректно. Может, эта галочка нужна только когда объединяешь интерфейсы, смотрящие в одну подсеть/подсети? Если так, то тогда понятно.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Хочу обратить внимание техподдержки на неправильное отображение статистики DFL в случае Routing rules и двух поднятых интерфейсов!

Вот скриншоты:




Как видно из скринов, исходящий трафик с ПК, чьи пакеты идут только на CorbinaPPTP_bezlimit в соответствие с правилами (см. выше в топике) якобы идут через CorbinaL2TP, что не соответствует действительности. Причем входящие пакеты по статистике отображаются правильно (Send rate при скорости в 1Мбит ну никак не может быть нулевым в поле Receive, если речь идет о TCP протоколе).

Данный баг подтверждается следующим:

1) Таблица Connections правильно показывает установленные соединения ПК, которому суждено ходить только в интерфейс CorbinaPPTP_bezlimit.
2) Биллинг провайдера правильно показывает большой исходящий трафик на CorbinaPPTP_bezlimit.
3) Торрент-трекеры правильно ведут статистику и на ПК идет отдача в 0,5-1Мбит
4) Ни один ПК/роутер не примет ответ на установление соединения, пришедший (ответ) с IP 85.21.х.х, если запрос посылался на 93.80.х.х. И уж тем более не станет скачивать.
5) И наконец, самое главное, - перед DFL стоит управляемый свитч. И если отзеркалировать WAN порт роутера, то наглядно видно, что маршрутизация тоже работает правильно, а пакеты уходят только с CorbinaPPTP_bezlimit.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо проверим.

Dima G., не проверял, но поверил бы просто по одним скриншотам , со статистикой у д-линка как-то плохо, особенно где это доп.фича, а не цель её правильно снимать, так на известных di-804hv исходящий трафик через тунель л2тп-клиента умножается на два при снятии статистики по wan-интерфейсу, хотя входящий считается правильно, приводил скриншоты и описание проблемы и т.п., даже приводил номер прошивки в которой такой ошибки не было, но в новых прошивках это не устраняют, ну я и забил, хотя бывает нужна эта информация особливо когда идут разборки с провайдером...

...да и то, что нельзя ручками закрыть туннель и открыть тоже столкнулся, и хуже того, после перезагрузки по питанию не факт что поднимится туннель сам, а стоит только провести манипуляцию с ним, так сразу начинает долбится к серверу... вот перейду с двeх di-804hv на dfl-210 начну тоже баги отлавливать, вс никак не найду в розничной продаже DGS-3200-10, а так бы уже б был бы стенд на подобии вашего.

ЗЫ. а в корбине за что бьют по рукам за два мака на проту или ещё за что?

[quote="Gravis_D-Linkвс никак не найду в розничной продаже DGS-3200-10, а так бы уже б был бы стенд на подобии вашего.

ЗЫ. а в корбине за что бьют по рукам за два мака на проту или ещё за что?[/quote]

Полно, где продается, - http://price.ru/bin/price/prodlist?curr=2&cid=0502&base=1&pnam=DGS-3200-10&vcid=030102&where=00&sort=1
Да, за несколько МАКов могут заблокировать. Но у меня-то один на DFL. Хотя я кратковременно, помню, вставлял ПК в неуправляемый свитч и никто не блокировал.

2 Sergey Vasiliev: в устройстве обнаружена более серьезная ошибка. Подробнее со скриншотами выложу вечером или завтра. А вкратце скажу вот что:

В тот день, когда проводил тесты, биллинг Корбины, оказывается, еще не обновил статистику. Сегодня обновилась и я увидел, что исходящие пакеты действительно шли через другой интерфейс. НО! С оговоркой - у этих балбесов непонятно как идет подсчет туннельного трафика. Им пофигу, с какого Инетного IP идет трафик от клиента. Подсчет идет по сессии PPTP или L2TP. Поясню на примере - при поднятии VPN мы получаем IP, но если потом внутри этой сессии мы начнем отвечать с другого IP, то Корбина его подсчитает. Пока сумбурно возможно написал, но потом будут и дампы пакетов, и скриншоты.
Так вот. DFL поднимает два туннеля. Один CorbinaL2TP (по протоколу L2TP, IP при этом 85.21.х.х), второй туннель - CorbinaPPTP_bezlimit (по протоколу PPTP, IP при этом 93.80.х.х). Когда я смотрел сниффером, то мое внимание было уделено только IP-адресам. Но фишка в том, что глубокий анализ показал, что DFL исходящие соединения в Интернет на интерфейсе PPTP (CorbinaPPTP_bezlimit) превращает в L2TP!!. И Корбина их лопает, потому что с этим локальным IP поднята сессия L2TP, а какой там IP внутри пакета указан как исходящий - ей пофигу.

Следует также подчеркнуть, что этот анализ проводился в ситуации, когда оба туннеля были подняты на один Remote Endpoint. Позже проверю, когда на разных. А пока просто скриншоты:



А теперь смотрим, что происходит на WAN порту DFL:



Отсюда и косяки со статистикой по отправленным пакетам...

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Вывод из консоли приведите, к тому же pptp в l2tp преобразоваться не может, так же по возможности предоставьте конфиг Конфиг.

Вывод чего привести? Этого?


Или этого?



Я понимаю, что не может. Но кто мешает устройству гнать трафик по другому туннелю? Ведь второй туннель тоже поднят, правда, там получен другой IP. Тем не менее я привел дамп пакета, где четко все видно. Конфиг вышлю, как только проверю работу туннелей на разных Remote Endpoint. Отпишусь здесь и пришлю по почте конфиг. Вы только в личку мыло оставьте. Спасибо.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Ну и в догонку, чтобы сравнили со скриншотом сниффера и убедились, что пакеты идут с WAN порта роутера (все не привожу, только на МАК чтоб обратили внимание):

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

да-да, обзванивал все эти конторы с прайс.ру, только где розницей не занимаются, где только за безнал и/или юр.лица, а где наглость полная, перезванивают и потом говорят цену на 900 р. дороже... вот в никсе вчера появился DGS-3200-10, но только цена высоковата.

Итак, провел тесты в случае, когда Remote Endpoint разных. Результат такой же - ответ на входящий запрос из одного туннеля идет через другой. Вот скриншоты.

1) Из Интернета на 89.178.128.194:46000 (это интерфейс безлимитного PPTP) поступает запрос на установление соединения с адреса 92.242.28.232:1265



2) Срабатывает правило SAT и входящий пакет пробрасывается на сетевое хранилище в домашней локалке на тот же порт 46000. Его адрес 192.168.0.3



3) Торрент-клиент на сетевом хранилище отвечает на этот запрос ответным пакетом с порта 46000 на адрес 92.242.28.232:1265



4) Срабатывает правило NAT на DFL-210 для исходящих соединений и ответный пакет уходит на другой туннель (L2TP), но с IP-адресом туннеля PPTP. Порт, кстати, остается тот же, куда пришел запрос из PPTP (46000)



Что я только не предпринимал, чтобы заставить уходить пакеты на PPTP, - писал запрещающие правила для исходящих с 192.168.0.3 на первый туннель, в Routing Rules указывал конкретный интерфейс вместо группы, в роутинговой таблице делал Only для маршрутов - все бестолку. Уходит на первый туннель и все. Да, данное поведение не зависит от типа туннеля. Я тестировал и сниффил на двух PPTP, смотрящих в Инет. Что-то все-таки не то в галочке Sec./transp. Equiv., либо я не умею правильно разрулить роутинг. Буду снимать эту галочку и разруппировывать интерфейсы, переписывая правила. Неудобно, конечно, что правил больше станет, но другого варианта пока не вижу.

Уважаемый Сергей, буду ждать в личку Ваш E-mail.
С уважением.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Скинул