Необходимо в пятницу уже поставить настроенный DFL-210, причем поставить и чтобы сразу работало:) Без долгого подбирания нужных настроек.
На данный момент вобщем-то без проблем удалось настроить балансировку между 2мя vpn соединениями, но не совсем понятно, почему не происходит переход на другой канал, если другой падает и не понятно, как указать вместо IP впн сервера его доменное имя (например vpn.kras.gldn)
В общем очень прошу оказать помощь в настройке, хотелось бы в ICQ, ибо на форуме будет очень долго. Моя аська 349589649, если у кого есть время - просьба помочь.

Настройка DFL-210 с резервированием каналов и остальными базовыми фичами - 30 минут (засекал).

Вы точно опишите что вам надо.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Хорошо, опишу подробно, что нужно сделать..
1)Необходимо подключиться к 2м провайдерам по VPN. Получение адресов на ethernet интерфейсах автоматическое. На одном из подключений в качестве VPN сервера нужно указать доменное имя vpn.kras.gldn проверка подлинности chap. На втором vpn.multi-net.ru аутентификация ms-chap-v1. В этом пункте не понятно, как указать, чтобы 210й подключался по доменному имени.
2) Настроить балансировку между VPN. Ну тут вроде все понятно, промоделировал, все работает.
3) Канал 1 падает - в течении 10-20 секунд должна перестроиться таблица маршрутизации и весь трафик пойти через оставшийся. И наоборот, второй падает, первый работает. Вот тут почему то не работает, отключаешь 1 канал, трафик по прежнему балансируется и половина сайтов недоступна.
4) необходимо добавить постоянный маршруты, чтобы доступ к некоторым сетям всегда был через 1 интерфейс, независимо от балансировки.
5) Сделать проброс некоторых портов с внешнего интерфейса на локальный
6) по возможности отключить всю фильтрацию трафика и защиты... Этим будет заниматься Ideco, стоящий за DFL-210.

В принципе все стандартно, просто времени все протестировать нет, надо сразу наверняка делать.

1)тут подробнее у провайдеров, если у них одинаковая приватная подсеть, то вы можете получить большие проблемы.
2) На сайте есть FAQ
3) http://www.dlink.ru/ru/faq/85/576.html только используйте ICMP мониторинг.
4) Для это вам надо использовать PBR, или же просто прописать статические маршруты. Пример для перенаправления трафика при помощи PBR тут http://www.dlink.ru/ru/faq/85/576.html
5) Пример проброса тут http://www.dlink.ru/ru/faq/85/480.html, не забудьте ознакомиться в тут http://www.dlink.ru/ru/faq/85/576.html с особенностями работы SAT на двух провайдерах
6)Он как бы не фильтрует его по умолчанию, просто NATит согласно настройкам.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

1) С физических интерфейсов снимаете add default route
Если адреса VPN серверов входят в сети на интерфейсах - все идеально
Если нет - то прописываете приоритетный (например с метрикой 0) роутинг до VPN серверов. Как написал Сергей, сети не должны пересекаться, иначе будет сделать сложно.
Указываете DNS сервера обоих провайдеров в System-DNS.
Создаете РРТР клиентов, в remote endpoint пишите в виде dns:имясервера
2) Балансировку делайте в режиме destination, оба маршрута до all-nets с одинаковыми метриками и мониторингом (ICMP) - добавляются руками.
3) Используйте ICMP мониторинг и режим балансировки destination и все будет хорошо.
4) Добавляйте приоритетные маршруты
5) Порт маппинг, смотрите FAQ. Чтобы работало со всех интерфейсов одновременно:
Создайте для каждого интерфейса альтернативную таблицу маршрутизации и сделайте там один дефолтный маршрут на интерфейс
Создайте правила PBR вида интерфейс/all-nets->any/all-nets all_services, forward main, return соответствующая таблица.
6) По умолчанию их и нет.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

вопрос по DFL-210 не могу настроить под инет: статический ip провайдера,
привязки к mac адресу нет, настраиваю через wizard ping проходит из локалки в инет обратно не идет http,ftp не пашет никак

Настройте DNS relay - http://dlink.ru/ru/faq/85/491.html

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Снова я:) Во-первых спасибо danilovav и Sergey Vasiliev. Моменты которые вы прояснили помогли в настройке очень сильно! Роутер установлен, балансировка работает, проброс портов настроил. Но возникли по ходу несколько вопросов. Буду их озвучивать в этой теме по мере продвижения настройки.

1) vpn сервера не входят в сети на внешних физических интерфейсах. По этому если я напишу в remote endpoint имя сервера, то должен буду создать маршрут для диапазона VPN адресов,который будет идти через физический интрфейс. Так? Но тогда как угадать подсеть vpn серверов, если они у провайдера постоянно плавают и меняются.. не совсем понятно. Пока настроил подключение на конкретный IP адрес, как временное решение.
2) По поводу мониторинга. Почему нельзя поставить галочку мониторинга на всех маршрутах, кроме маршрутов, которые я указал для vpn серверов провайдеров? Как мне кажется мониторинг по пингу до интернет хостов не будет в этом случае работать, адреса то недоступны на этих маршрутах..
3) Необходимо, чтобы внешние интерфейсы пинговались с других сетей, для удобства мониторинга. Для этого создал правило:
Name Action Src If Src Net Dest If Dest Net Service
PING Allow any all-nets any all-nets all_icmp
Теперь пингуется внешний интерфейс VPN, поднятый через порт wan, но не пингуется vpn, поднятый на DMZ порту... Почему?


P.S: проверил порт маппинг. Аналогично последнему пункту не пробрасываются порты с vpn, подключенный через DMZ. Сделал все аналогично как и для интерфейса VPN на порту wan.

1) Выясните у провайдера сеть VPN серверов и пропишите на них роутинг. У той же корбины это делается, думаю и у других без проблем.
2) Мониторить нужно те маршруты, для которых существуют альтернативы. Маршруты до шлюзов интерфейсов и тех же VPN серверов - статические, поэтому их мониторить не надо.
3) Во-первых, использование any не совсем желательно. Но, коли вы хотите одним правилом, то переделайте так
Allow any/all-nets core/all-nets all_icmp
Также, чтобы был доступ с интерфейсов, которые не активны по маршруту в main, вам надо сделать (на примере вашего dmz)
Альтернативную таблицу маршрутизации alt_dmz с единственным дефолтным маршрутом на dmz
Правило PBR dmz/all-nets any/all-nets all_services, forward: main, return: alt_dmz

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Бр, что-то я не до конца уловил, что подразумевается под единственным дефолтным маршрутом на dmz. А главное не понятна логика, почему нужно сделать именно такие действия, если можно разжуйте для тех кто не особо въехал))

Единственный дефолтный - это dmz all-nets 0, хотя метрика на ваш вкус.

Делать так надо потому, что в случае конфигурации резервирования, у DFL будет только один активный маршрут на all-nets - на "живой" канал. При этом, резервный (ваш DMZ) в тот момент не активен, DFL не может обработать запросы с него т.к. будет пытаться отправять ответы через WAN. Правилом вы перекидываете пакет в альтернативную таблицу маршрутизации, где нужный маршрут есть и все получается.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо, теперь понятно.
Настраиваю так



Но portmapping так и не работает, VPN на инетерфейсе DMZ по прежнему не отвечает на icmp запросы. Что не так?

Т.к. интерфейс с использованием шлюза, укажите его в маршруте.

С другой стороны, вы настраиваете физический интерфейс, а правила делаете для VPN - естественно, работать не будет.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, и праавда очевидный косяк был. Настроил всю маршрутизацию на VPN. Работает! Ура

Ну вот, упал один из VPN, участвующий в балансировке и инет у пользователей пропал, весь трафик через оставшийся канал не пошел.. Почему? Какие маршруты нужно мониторить, если они все статические и галочка мониторинга у них недоступна?