на данный момент, интернет работает через софт файрвол.
сессия PPPoE поднимается на самом модеме.
планирую перенести интернет на dfl-800

собственно вопрос, как сделать лучше:
1. оставить PPPoE сессию на модеме, и dfl пусть раздает права доступа?
2. поднимать сессию через dfl, а радавать права через софт прокси?

в дальнейшем планируется поднять второй интернет канал на dfl, поставить failover, но каждый раз лезть на него и давать доступ пользователям, лучше поставить 1 прокси сервер и пусть он кеширует все, и права разадавать через него проще. поэтому склоняюсь ко второму варианту


как думаете?

Это уже как вам удобнее. Лучше чтоб DFL поднимал сесию и на нем были настроены политики, например напрямую выпускать только избранных пользователей, а всех остальных только через ваш прокси.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

ясно, я так и подумал.

прочитал ФАК, и поднял сессию на dfl, но(!):

1. при PPPoE сесии ip адрес не выдается, 0,0,0,0 принимает!
может быть это связано с тем, что ip адрес я уже указал для wan2?

такое может быть? и если да, то какой ip в таком случае указывать для интерфейса wan2?

Это в address book у вас объект с сохраненным адресом 0.0.0.0 (например, pppoe_ip), при соединении в нем адрес будет содержаться правильный. Используйте его спокойно.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

а как мне, собственно, подключить само соединение?

Мастер вам и автоматом сделает, а вообще - Interfaces-PPPoE

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav
насколько я помню, мастер только при несконфигурированном dfl'e и то только первый раз запускается, так?
в любом случае, у меня dfl уже работает, тащит все, кроме инета.


я это нашел, добавил. но, как бы мне понятнее выразиться, это я только параметры ввел(задал конфиг, настройки), но самого подключения не было. где, образно выражаясь, кнопка "connect" или dfl автоматом поднимет соединение(и восстановит его при обрыве) после того как все данные билы введены?
я смог объяснить?

Когда все правильно введено, соединение поднимается и восстанавливается автоматически.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

все сделал, с самого файрвола пинги до инета идут.

теперь вопрос насчет внешнего прокси:

1. каким пользователям лучше дать прямой доступ (ясно что админам) в смысле логическую авторизацию или по ip?

2. как правильно настроить выход в нет для обычных пользователей: пусть файрвол рубит все лишнее, но само право выхода в Инет раздает прокси?

Что именно сделали?

1. Можете настроить на устройстве web авторизацию.

2. Определитесь с топологией. На прокси должн быть поднят NAT, разрешаете выход только прокси и избранным пользователям на DFL.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

получилось настроить и поднять PPPoE



топология такова:
LAN -> Proxy (который в LAN'е) -> DFL -> Internet

тока это получается, мне надо на прокси вторую сетевуху поставить, выделить в отдельный ВЛАН что ли?

у нас сеть 192,168,0,0/24 а для прокси, что бы НАТить нужен другой сетевой адрес, скажем 192,168,120,0/24
т.к. dfl непосредственно сидит в нашей сети, я новоиспеченный прокси сервер должен запихать в ВЛАН через свитч а из свитча в dfl

я все правильно понимаю?

Простите, а кой смысл в прокси? Просто потому что проще или чтобы кешировать или ограничивать?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

у меня в аське стоит статус:
На работе чувствую себя Санта-Клаусом - меня окружают шесть оленей...

вобщем у нас тут одни олени. у меня на все руки не дойдут. а так поставил прокси:
1. его оленям сломать - не так фатально
2. кеширует ресурсы. хотя насоклько актуально его использование - понятия не имею
3. проще с администрированием. поверьте, в dfl не так удобно!

У меня оленей гораздо больше - сотни Только к счастью, я не админ

А вообще
1. NAT он вообще на основе правил, в железке и сломать ну никак
2. Если народу до сотни человек и нет особо юзаемых постоянно ресурсов, то можно и без него обойтись.
3. Поверьте, в DFL очень удобно! Это почти как Kerio, простите за неуместное сравнение.

А вообще - важно техзадание на проект. И исходя из него придумывается схема.

danilovav
ну раз уж такое сравнение пошло, то я скажу, что в том же керио, в правилах можно добавить любой сервис, любой порт, любое назначение сразу же. а в dfl, сначала надо определить объект в address book/services и только потом добавить в правила и/или использовать сам объект.

я когда только перешел на dfl у меня таких примеров масса была, cчас все уже и не вспомнишь!


ну да ладно. у меня небольшая трабла. чувствую что решение под носом но найти не могу:
мне надо, чтоб с инета был доступен 1 адрес. я делаю порт маппинг. сначала правило SАТ, потом следом, правило Allow для этого-же сервиса, потом располагаю это правило на самый верх, что-б путаниц не было.
проверяем. с компа пускаем


смотрим лог - пакет отбрасывается?
что я делаю не так?