Помогите пожалуйста настроить DFL-800 для подключения 3 ISP, в FAQ нет описания подобной ситуации.

1) Задача состоит в том, чтобы пользователи из lannet получали доступ в Интернет через любую из исправных линий wan1, wan2 и dmz.

Существует ситуация, когда пользователь из lannet подключается к удаленному хосту требующему авторизации с привязкой по IP, т.е. если после авторизации пользователя запрос придет с другого IP, то он будет перенаправлен на авторизацию. Как избежать данной проблемы?

2) В сети существует сервер, доступ к которому должен быть из all-nets (0.0.0.0/0) через любую из линий wan1, wan2 и dmz.

3) Можно ли среди поддерживаемых в устройстве DDNS провайдеров воспользоваться (платной) услугой привязки к DDNS своего собственного адреса имя.RU, чтобы в его A записи было 3 IP-адреса когда все линии исправны или 2, если одна из 3 не работает.

Вы хотите использовать один канал в конкретный промежуток времени, чтобы устройство само переключались с wan1 на wan2 в случае падения wan1, и на dmz в случае падения и wan1, и wan2? Или хотите использовать все каналы сразу?

Без проблем. Использовать правило SAT+Allow, а также PBR. Какой сервис должен быть доступен на сервере?


Нельзя.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Средствами DFL такого сделать нельзя. Но если вы найдете DDNS провайдера, который будет принимать 3 адреса на одно имя, то я думаю можно просто написать программу, которая по 3 имеющимся у вас адресам будет обновлять ваш домен.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1) Да, я хочу использовать все каналы сразу, есть же фича балансировки нагрузки. Скорость у них не фиксированная и нельзя в конкретное время рассчитывать на один из них. Может быть так, что 2 канала дают 10mbit, а 3 в это же время 70mbit. И это соотношение меняется все время, сейчас сервер работает через 1 канал, который почти всегда дает 10-15mbit, но бывает, что часа на 4 подряд в сутки его начинает плющить до 512kbit.

2) Использовать правило SAT+Allow у меня есть опыт только для одного wan и без использования PBR.

Можно попросить какие-нибудь примеры настроек.
Исходные данные:
lannet (192.168.0.0/24)
wan1net (192.168.101.0/24)
wan2net (192.168.102.0/24)
wan3net (192.168.103.0/24)
lan_ip (192.168.0.1)
server_ip (192.168.0.10) service HTTP, FTP
users (192.168.0.2-192.168.0.9)

msbud, покажите еще скриншотом или текстом таблицу маршрутов main, чтобы точно знать, как и что прописано. Схема и задача понятны, поэтому обязательно поможем
И еще, Вы с консолью (CLI) DFL дружите? А то проще было бы командами показать решение, чем по пунктам веба.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

192.168.101.0/24 wan1 - 100
192.168.102.0/24 wan2 - 100
192.168.103.0/24 dmz - 100
192.168.0.0/24 lan - 100
0.0.0.0/0 wan1 192.168.101.1 100

Портом RS-232 не располагаю и с консолью (CLI) даже не познакомиться.

Спасибо за помощь в обучении и решении задач

Консоль доступна и по сети через SSH. Настраивается в Remote Management.

1) Добавить маршруты:
0.0.0.0/0 wan2 192.168.102.1 - 100
0.0.0.0/0 dmz 192.168.103.1 - 100

Какие у Вас шлюзы в wan2 и dmz не знаю, потому по аналогии с wan1 написал.

2) Правила:
Если сейчас в правилах прописано что-то типа NAT lan/lannet -> wan1/all-nets all_services, то добавить аналогичные для wan2 и dmz, если таковые еще не были созданы.

3) Проброс портов:
а) http
SAT wan1/all-nets -> core/all-nets http-in SATDEST server_ip
Allow wan1/all-nets -> core/all-nets http-in

SAT wan2/all-nets -> core/all-nets http-in SATDEST server_ip
Allow wan2/all-nets -> core/all-nets http-in

SAT dmz/all-nets -> core/all-nets http-in SATDEST server_ip
Allow dmz/all-nets -> core/all-nets http-in

Если на сервере также используется SSL на порту 443, то вместо http-in надо использовать http-in-all

б) ftp
SAT wan1/all-nets -> core/all-nets ftp-inbound SATDEST server_ip
Allow wan1/all-nets -> core/all-nets ftp-inbound

SAT wan2/all-nets -> core/all-nets ftp-inbound SATDEST server_ip
Allow wan2/all-nets -> core/all-nets ftp-inbound

SAT dmz/all-nets -> core/all-nets ftp-inbound SATDEST server_ip
Allow dmz/all-nets -> core/all-nets ftp-inbound

ftp-inbound пишу по памяти, ибо я его под себя немного поменял. Если не заработает, то посмотрите, что из себя представляет этот сервис. Должно быть dest port 21 и включен ALG. У этого ALG должна быть галочка "Allow server to use passive mode (unsafe for server)" и указаны порты 1024-65535.

Можно сократить кол-во правил в три раза, если сделать группу интерфейсов, в которую войдет wan1, wan2, dmz, и указать эту группу в SourceInterface в правиле SAT и Allow. Тогда получится одно правило SAT и одно правило Allow

4) Балансировка нагрузки:
Routing - Route Load Balancing - Instances - Add

Routing Table: main
Algorithm: Destination

5) Создаем три таблицы альтернативной маршрутизации:
Routing - Routing Tables - Add

а)
Name: alt_table_wan1
Ordering: Default
Нажимаем OK. В созданной таблице добавляем маршрут:
Interface: wan1
Network: all-nets
Gateway: 192.168.101.1
Metric: 100
Остальное не трогаем и оставляем как есть.

б)
Name: alt_table_wan2
Ordering: Default
Нажимаем OK. В созданной таблице добавляем маршрут:
Interface: wan2
Network: all-nets
Gateway: 192.168.102.1
Metric: 100
Остальное не трогаем и оставляем как есть.

в)
Name: alt_table_dmz
Ordering: Default
Нажимаем OK. В созданной таблице добавляем маршрут:
Interface: dmz
Network: all-nets
Gateway: 192.168.103.1
Metric: 100
Остальное не трогаем и оставляем как есть.

6) PBR (необходимы, чтобы пакет, пришедший на сервер с конкретного интерфейса, уходил обратно через тот же интерфейс с помощью таблиц, созданных в пункте 5):
Routing - Routing Rules - Add

Name: rule_route_wan1_http
Forward routing table: main
Return routing table: alt_table_wan1
Service: http-in (или http-in-all)
Source Interface: wan1
Source Network: all-nets
Destination Interface: core
Destination Network: all-nets

Name: rule_route_wan1_ftp
Forward routing table: main
Return routing table: alt_table_wan1
Service: ftp-inbound
Source Interface: wan1
Source Network: all-nets
Destination Interface: core
Destination Network: all-nets

Name: rule_route_wan2_http
Forward routing table: main
Return routing table: alt_table_wan2
Service: http-in (или http-in-all)
Source Interface: wan2
Source Network: all-nets
Destination Interface: core
Destination Network: all-nets

Name: rule_route_wan2_ftp
Forward routing table: main
Return routing table: alt_table_wan2
Service: ftp-inbound
Source Interface: wan2
Source Network: all-nets
Destination Interface: core
Destination Network: all-nets

Name: rule_route_dmz_http
Forward routing table: main
Return routing table: alt_table_dmz
Service: http-in (или http-in-all)
Source Interface: dmz
Source Network: all-nets
Destination Interface: core
Destination Network: all-nets

Name: rule_route_dmz_ftp
Forward routing table: main
Return routing table: alt_table_dmz
Service: ftp-inbound
Source Interface: dmz
Source Network: all-nets
Destination Interface: core
Destination Network: all-nets

Вот как-то так :)

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Возник вопрос, почему в пробросе портов в правиле стоит all-nets, вместо wan_ip.
И еще у меня правило имело несколько другой вид:

а) http
SAT any/all-nets -> core/wan1_ip http-in SATDEST server_ip
Allow any/all-nets -> core/wan1_ip http-in

При включенной балансировке не зайти на vkontakte - браузер начинает что-то поочередно грузить со скоростью несколько загрузок в секунду, при этом в строке статуса чередуется что-то со словом login и id страницы. Страница в это время пустая, только слева вверху крутится некий круглешок загрузки...

Очень напоминает то что я предполагал в первом сообщении:

Один из алгоритмов балансировки предназначен прямо для этого. Почитайте.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это непринципиально. И так, и так можно.

Я не использую any отчасти по философским, отчасти по практическим понятиям. Дело в том, что в этом случае и при большом кол-ве правил сложно определить, в какую папку правил поместить это правило. Лично у меня правила разобраны по папкам для удобства поиска и отсутствия мороки обдумывания, кто за кем для правильной обработки должен идти. Например, если Вы захотите сделать доступным сервер по http со стороны LAN в случае коннекта на wan1_ip/wan2_ip/dmz_ip, то, во-первых, подобное правило необходимо будет поставить выше правила SAT (где указано Any), а во-вторых, вместо Allow использовать NAT. Вот и придется помнить, на каком месте кто находится. Ну и философская составляющая неиспользования any - люблю, когда яблоки в магазине в одном пакете, а виноград в другом )

Вы правила PBR прописали прежде чем заходить на vkontakte? Тут еще нюанс: вконтакте ломится на адрес login.vk.com в момент захода на главную страницу. А это другой IP. Возможно, идет проверка по IP. И таких сайтов немало. В этом случе придется загонять их подсети или несколько IP в правило PBR, чтобы трафик шел строго через одного провайдера. Или получать самим собственную подсеть IP адресов и договариваться с провайдерами о BGP маршрутизации. Но это уже более дорогое решение, зато подобных проблем не будет.
И еще, на других сайтах пробовали проверять? А самое лучшая проверка - торренты. Там скачка по разным IP и видно будет, как все каналы задействованы.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Новая хрень - уже второй раз DFL-800 сам перезагружается и пишет во второй раз Last Restart: 2009-10-12 19:23:14: Exception 'DataAbort' occurred at address 0x72331ac
а что было в первый раз не обратил внимания

3 раз Last Restart: 2009-10-12 21:00:25: Exception 'DataAbort' occurred at address 0x72331ac

Это уже не ко мне

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Я хочу сделать сервер доступным по http со стороны LAN =)))
Что еще из правил мне надо добавить в текущей ситуации, а то сервер отбрасывает:

Видимо у вас старая прошивка. НА старой прошивке с балансировкой возникала подобная проблема. Обновите прошивку ftp://ftp.dlink.ru/pub/FireWall/DFL-800 ... pgrade.img

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.