Здравствуйте!

Вопрос в следующем - можно ли добится одновременной работы
портов WAN2 и DMZ если они имеют белые статические адреса из одной подсети
типа x.x.x.177 и x.x.x.178?
Сколько не пробывал - так ничего и не вышло - работает тот у которого метрика на свою подсеть (она у них одинаковая) в таблице main меньше

Ситуация такая:
На WAN1 подключен основной канал на Интернет и на нем кроме это го поднимались IPSec туннели до подразделений. Решили подключить еще пару каналов и убрать IPSec на них. Беда в том что провайдер выдал IP на них из одной подсети и все вроде работает, но только либо на том, либо на другом

А в чем должна заключаться одновременная работа? Балансировка нагрузки?
А почему нельзя на одном интерфейсе (WAN2) прописать оба адреса, что выдал провайдер? Зачем делить кабель пополам и втыкать в две дырки? Впрочем, если провайдер дает более 100МБит, то это обоснованно. Тогда надо прописать на WAN2 один адрес, а на DMZ другой. Метрика all-nets должна быть на каждый из них одинаковая. Далее настраиваете Route Load Balancing. Только учтите, что на данный момент есть проблема с этим делом - ссылка
Как настроить Route Load Balancing, читайте мануал на стр. 141 по этой ссылке

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Дело в том что каналы то ADSL то есть узкие на отдачу, а подразделений около 60-ти. Просто нужно грубо поднимать по 30 IPSec на каждом. Само собой приходит 2 кабеля. Балансировка не нужна.

Проблема в том, что у вас на обоих WAN одинаковые подсети вида х.х.х.192/29, верно? Выражается в том, что DFL не может решить, на какой интерфейс слать запросы на шлюз.

В идеале - тыкайте провайдера, чтобы выдал другой адрес.

Но коли у вас ADSL, настройте один модем роутером и укажите DFL как "DMZ" - на бюджетных аппаратах будет делаться порт маппинг всех входящих подключений, что позволит вам нормально работать с этим каналом.

Единственный ньюанс - в IPsec через этот канал укажите ID type = IP и значение - белый адрес.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

sergikov, а у Вас по АДСЛ сразу выдаются адреса, или поднимается сессия PPPoE? Если первое, то почему бы принудительно не прописать на WAN не подсеть (или получение по DHCP), а конкретный IP?
Если все-таки PPPoE, то можно попробовать использовать Manually specify IP Address object, где также указать какой-нибудь IP. На крайний случай пнуть ISP, чтоб выдавал тот IP в момент установления PPPoE, который просит непосредственно клиент PPPoE.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

danilovav, проблема именно такая как вы и описали подсеть x.x.x.x/24 и именно DFL не знает на какой интерфейс слать запросы на шлюз.
А хотел я узнать именно можно ли вообще разрулить эту ситуацию на DFL?
Если нет то я само собой пойду тем путем какой вы посоветовали.

На мой взгляд, ситуация в вашем виде неразрешимая на 3 уровне. Устройство имеет 2 интерфейса, по Network ID абсолютно одинаковых для него и шлюзы этих интерфейсов вполне так попадают в обе сети.

Кстати, network bit = 24 (полная сеть класса С) это очень странно т.к. обычно идет 29 (маска 255.255.255.248, шлюз имеет адрес IP-1), и в этом случае как раз все может и заработать (теоретически).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Понял, спасибо за ответы. А подсеть действительно /24 - так наш провайдер дает.

или я чего-то не понял ( прочёл всё несколько раз)...или я не вижу проблемы в том что 2 ip из одной подсети с одинаковой маской на 2х интерфейсах DFL.
Всё ведь решается обычным PBR.
( у меня так на wan1 и wan2 от одного провайдера настроены 2 адреса из единой сети с одной маской., изнутри сети различные типы трафика с разных IP уходят, снаружи на wan2 ничего не падает "физически". Но через PBR на wan2 можно так же завернуть всё что угодно.(ipsec , etc).

Вопрос только в том как у вас на ADSL выдаются адреса? PPPoE ?, у вас 2 модема стоит или всё через 1 как то выдаётся? поясните пожалуйста эти моменты.

Сделать это вполне можно. В DFL для этого предусмотрен прозрачный режим. Для работы такой конфигурации сделайте так.

1.Включите Transparent mode на интерфейсе WAN.
2.Включите Transparent Mode на интерфейсе DMZ. Установите на интерфейсе DMZ в качестве IP объект wan_ip и в качестве network wannet,

3.Создайте разрешающие правила.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Для Cranium, Модема 2, адреса статика - белые. Модемы в режиме Bridge, адреса прописаны на интерфейсах DFL. В прямую с помощью PBR не получилось именно на этих 2 интерфейсах. Если адреса из разных подсетей все работает.

Должно быть примерно так:
Альтернативная таблица (alt):
добавьте там 2 маршрута:
в all-net на ваш шлюз с интерфейса Dmz.
и просто маршрут dmz-net тоже на интерфесе Dmz.
PBR правило:
forward table: main
return table: alt
services: all_tpcudpicmp

Source inf: dmz
Source net: all-net
Dest inf: core
Dest net: dmz-ip

3. создать разрещающие правило на пинг dmz_ip из и-нета.
4. В Ip-rules -> Access создать:
inf: wan2
action: accept
net: all-net.

Save&Active , дальше откуданить из и-нета пропинговать dmz_ip.
Если всё нормально - будет пинговаться, дальше можно туда и ipsec перевести или из нутри сети что-то через dmz выпустить если такая необходимость есть ( своё правило PBR не забудьте).

Для Cranium: Спаcибо заработало.

У меня не хватало именно вот этого:

В Ip-rules -> Access :
inf: dmz
action: accept
net: all-nets.

Остальное было похоже.

ясно =) дЫк без него у вас весь лог дфл был засыпан по default_acсess_rules по Wan2\dmz =)

p/s теперь просто перенастройте нужные ipsec через dmz_inf, и на удалнной точке remote_gw не забудьте сменить., или только на удаленной точке если тунель инициируют они.