Есть DFL-800. На WAN1 весит ADSL1 на WAN2 весит ADSL2. Все сидят в инете, через WAN1. Как сделать так что бы через WAN2 HTTP запросы пробивались к серверу сидящиму на LAN?

Почитайте это - http://dlink.ru/ru/faq/85/576.html
Для Вашего случае схема будет более упрощенная. Необходимо лишь настроить проброс порта и сделать правило PBR с использованием дополнительной таблицы маршрутизации. В FAQе более сложная схема с мониторингом провайдеров. Но Вам, судя по вопросу, этого не требуется.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Мне как раз переключение на резервный канал не нужно. С WAN2 трафик должен идти на сервер и обратно, и только.В последствии хочу через WAN2 Ipsec пустить. Создал правила SAT и Allow для WAN2 а DFL-у пофиг! Не видит эти правила и всё тут. Все пакеты пришедшие на WAN2 дропит. Походу что то там с метриками связано.
P.S. Уже голова начинает пухнуть от этих DFL-ов

не надо нервничать
приведите скриншоты таблиц(ы) маршрутизации и правил

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сделал всё как описанно выше - заработало
Сервак теперь доступен с WAN2. Но естьещё одна проблема. Если попытаться с самого сервака выйти в нет, то пакеты идут на WAN1.
Добавил ещё два правила:
NAT LAN ip_сервера WAN2 allnet
Allow LAN ip_сервера WAN2 allnet
Не работает

Для него тоже надо настроить PBR

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Что бы написать свой PBR, надо понять полностью как работает этот DFL.
Как я понял теорию.
У DFL есть интерфейсы: в частности WAN1, WAN2, LAN, DMZ (ну там и виртуальные типа IPsec).
Ядро DFL составляет фаервол, маршрутизатор.
Когда IP пакет приходит, на какой ни будь интерфейс, происходит следующее…
И тут у меня всё уже перепуталось в голове. По идее сначало ищится в IP правилах, правило под которое попадает пакет. С помощью правил можно пакет проNATить на другой интерфейс, отбросить, закрыть сессию, проSATить. Т.е. можно настроить правила выполняющие функции фаервола и маршрутизатора. Отсюда вопрос – нафиг нужен пункт Routing. Например, возьмём маршрут который я создал для того, что бы пакеты с WAN2 пересылались на локальный сервер.

Что означают все эти пункты?

Developer_, когда пакет приходит, первое, что ищется, это правило PBR. Если для данного пакета нет подходящих условий, то смотрится таблица main. После определения, через какой интерфейс должен пойти пакет, смотрятся правила Access, потом IP Rules. Если в правилах есть SAT под данный пакет, то еще раз просматривается PBR, потом таблица main. Кажется, так. Я сам хотел бы подтверждения от саппорта, что схема, понятая мной из мануала, именно так работает.
Пункты расшифрую:
Interface - через какой интерфейс пойдет пакет, у которого адрес назначения принадлежит подсети Network. В данном скриншоте это пакеты, предназначенные для любого получателя идут через WAN2, причем на шлюз WAN2_gateway. Метрика сыграет роль при определенных обстоятельствах (еще один маршрут, но на другой шлюз в интерфейсе WAN2; еще один маршрут, но на другой интерфейс для подсети all-nets)

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

PBR - это , я так понимаю, Policy-Based Routing? В какой закладки у DFL находятся эти правила? Какую роль играет это правило? Т.е. оно определяет что куда надо направить и является исполнительным правилом? Т.е. если пакет подходит под правило то он переправляется. Или, по мимо наличая PBR, нужно ещё и разрешать перенаправление в IP rule? Но тогда получается избыточность, ведь в IP rule можно задать откуда и куда перенапровлять - Source interface, Destination interface.
В таблице route main все правила read only. Как я понял - сюда правила добавляются автоматически исходя из чего? IP rule?
Вот картина main:

Как я вижу: Все пакеты приходящие на любой интерфейс и у которых
адрес назначения принадлежит любой сети, отправлять на WAN1 - правило 2. Метрика 100. И!!!
Все пакеты приходящие на любой интерфейс и у которых
адрес назначения принадлежит любой сети, отправлять на WAN2 - правило 4. Метрика 100. Какое правило главнее? Они не двигаются вверх вниз - т.е. у них нет приоритета друг у другу. Помогите разобраться.
Спасибо.

Вот правило Routing которое я создавал что бы пакеты приходящие на WAN2 отправлялись на внутренний сервак:

Объясните, что значит каждый пункт.
Спаибо.

Если в ывнимательно читали faq, я там объяснил логику работы PBR,
Фильрами в правиле являются service и source/destination interface/network. Если пакет удовлетворяем этим правилам, то он как бы "выдирается" из основной таблици маршрутизакии и отправляется в указанную таблицу маршрутизации, которые указываеются в Forwarding table (для обработки исходящего правила) и return table (для обработки входящего трафика.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

To Dima G.

По поводу обработки пакета.

1.Сначала проверяется Ethernet пакет, т.е его корректность.
2. Проверяется пакет на принадлежность интерфейсу, т.е. является ли пакет VLAN или PPP, пришл ли он на правильны интерфейс. Например если пришел vlan пакет с правильными адресами, но vlan на DFL не настроен, то пакет будет отброшен.
3.Прошедший проверку пакет попадает проверяется "NetDefendOS Consistency Checker" уже на более высоком уровне, например, проверка контрольной суммы, длина пакета, установленые флаги и т.д.
4.Пакет проверяется на принадлежность существующему соединению (уже установленной ранее сесии). Сличаются много параметров, интерфейс источник и назначения, IP источника и назначения, порт источник аи назначения, номер очереди (sequence) и т.д.

Если пакет не принадлежит существующей сесии, то начинается процесс установки соединения.


5.Далее проверяется Access Rule. Разрешено ли соединение указанного IP на указанный интерфейс, если пакет не совпадает с правилами, проверка на обратный поиск маршрута завершается.

Если подробнее, то интерфейс может принимать пакеты, только с сетей, на которые у него есть маршрут, если на интерфейсе на который пришел пакет нет маршрута в сеть источика, то пакет будет отброшен правилом по умолчанию преславутым "default access rule", даже если у вас есть правила для этого пакета.

Если же у вас указанно в Access rule принимать пакет с итим источником на этом интерфейсе, то пакет продолжит обрабатываться.

6. Проверяется таблица маршрутизации и правила маршрутизации.

7. Пакет обрабатывается IPRules

8. Пакет обрабатывается IDP/IPS (если использаванно)

9. Пакет приоретизируется/Применятеся правило порогов (если используется)

10. Из информации о состоянии пакета, DFL "узнает" как обрабатывать пакет.
Например если пакет должен обработаться ALG или IDP, то он поступает в подсистему"TCP Pseudo-Reassembly", в которой происходит анализ IDP или обработка средствами ALG.
Если же пакет инкапсулирован (IPSec, GRE и т.д.) проверяется пренадлежность пакета интерфейсу, если проверка проходит успешно, то даные деинкапсулируются и уже исходный пакет возращается на пункт 3 для продолжения обработки.
Если есть правило приоретизации, то пакет проретезируется.

Пакет проходит DFL и поступает конечному хосту.

Эта схема несколько упрощена, более наглядно надо смотреть полную схему обработки в инструкции.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Sergey Vasiliev, спасибо за подробное объяснение. Я в принципе сократил и описал лишь пункты с 5-й по 7-й в Вашей инструкции. Меня вот именно и смущало - сначала пункт 6, потом 7 или наоборот. Теперь все ясно

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Где прописывать что бы IPsec туннель устанавливался через WAN2?