Здравствуйте
Имею 2х операторов и DFL-210. Порт DMZ (фиксированный IP) настроен как второй wan. dmz и wan объединены в группу. На группу выдано разрешение удаленного управления по https.
Не работает управление по DMZ порту никак. Лог фиксирует отбой попытки присоединения к DMZ по 443 порту. Прямые правила, разрешающие прием трафика снаружи на DMZ 443 порт почему то не работают.
Прошу помощи

У вас скорее всего DMZ настроен как резервный - нет дефолтного активного маршрута на него. Соответственно, надо сделать чтобы входящие с DMZ обрабатывались по такому маршруту. Делается это так:

1) Routing > Routing tables
Добавьте новую таблицу маршрутизации alt_wan2 (или alt_dmz, как вам удобно) и в нее один маршрут dmz all-nets 0 (метрика значения не имеет, мониторинга не надо)

2) Routing > Routing rules
Добавьте правило dmz/all-nets core/all-nets, forward main, return alt_wan2

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1) Не понял к чему forward main, return alt_wan2 - попытался настроить )))

проблема такая. 2 провайдера.
первый настроен, ВПН и ПППОЕ поднимается и работает
от второго провайдера требуется только ЛАН (без авторизации, тока IP, шлюз, маска, днс)
Кабель в DMZ воткнул. вроде все настроил в группы DMZ добавил. попытался активировать по вышеописанному способу DMZ бесполезно.
первое соединение работает, а второе наотрез отказывается (надо FTP и внутренние ресурсы оттуда)

помогите настроить. тока если можно пподробнее....


И... ща на журнал обратил внимание. какаято фигня долбится. Может что то разрешить надо или запретить?

2010-05-09
00:56:51 Предупреждение RULE
6000051 Default_Rule IGMP dmz
10.64.0.66
224.0.0.1
ruleset_drop_packet
drop
ipdatalen=8 type=MEMBER_QUERY maxresp=100 groupaddr=0.0.0.0
2010-05-09
00:56:47 Предупреждение RULE
6000040 UnknownVLANTags dmz


unknown_vlanid
drop
vlanid=14 hwsender=00-30-4f-5f-5a-f0 hwdest=01-00-5e-00-00-01 enetproto=0x8100
2010-05-09
00:56:26 Предупреждение RULE
6000051 Default_Rule IGMP dmz
10.64.0.66
224.0.0.1
ruleset_drop_packet
drop
ipdatalen=8 type=MEMBER_QUERY maxresp=100 groupaddr=0.0.0.0
2010-05-09
00:56:01 Предупреждение RULE
6000051 Default_Rule IGMP dmz
10.64.0.66
224.0.0.1
ruleset_drop_packet
drop
ipdatalen=8 type=MEMBER_QUERY maxresp=100 groupaddr=0.0.0.0
2010-05-09
00:55:36 Предупреждение RULE
6000051 Default_Rule IGMP dmz
10.64.0.66
224.0.0.1

_________________
8-928-158-1720 - Андрей

Если у вас такая конфигурация, то в дополнение к тому что я писал, надо сделать еще...

1) Interfaces > Interface groups
Создайте группу wans из wan, dmz

2) Objects > Address book > InterfaceAddresses
Создайте группу адресов wans_ips из wan_ip, dmz_ip

3) Rules > IP rules > lan_to_wan
Во всех правилах с destination wan, измените его на wans

4) Rules > IP rules
Если вам надо, чтобы порт-маппинги работали для обоих интерфейсов (например, торренты по локалке), во всех SAT правилах (по всем папкам, если вы их делали) измените source intreface wan на wans, destination network с wan_ip на wans_ips и на вкладке SAT поставьте галку All-to-One Mapping: rewrite all destination IPs to a single IP

Поскольку вам от dmz надо только локалку (например, будем считать что это 10.0.0.0/8 ), то...

5) Objects > Address book
Добавьте адрес dmz_local_net = 10.0.0.0/8

6) Routing > Routing tables > main
Добавьте маршрут dmz dmz_local_net 1
Метрика 1 тут имеет смысл быть меньше, чем дефолтная метрика на wan (обычно это 100)

А ваши логи - это всего лишь сообщение, что из dmz приходил IGMP (IP TV), а DFL его дропает.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Если у второго провайдера сеть, которая вам нужна, не пересекается с сетью первого провайдера, то вам надо только в таблице main прописать маршрут на нее и сделать разрешающие IP правила. И никаких PBR и альтернативных таблиц маршрутизации.
И всё.

И, обычно, лучше создавать свою тему, а не соседиться в чужую.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Здравствуйте
2danilovav - большое спасибо за помощь. Заработало.
2all - вопрос к сообществу
Основной ISP на wan (PPPoE)
Резервный ISP на dmz (Static)
Пытаюсь настроить failover по инструкции http://dlink.ru/ru/faq/85/576.html и что то путаюсь в маршрутах.
Подскажите как переработать инструкцию применительно к выше указанным условиям (Инструкция дана для двух Static, т.е. предполагается что gw для обоих интерфейсов известны. У меня wan_gw не известен)
Спасибо

В софтах 2.25+ целесообразно использовать ICMP мониторинг на DNS сервера провайдера или какие-нибудь внешние устойчивые сервисы (например, Google DNS - 8.8.8.8/8.8.4.4)

Основной маршрут у вас будет wan_pppoe all-nets 100 (без гейтвея т.к. туннель, с мониторингом). Резервный - dmz all-nets dmz_gw 101 (тут мониторинг чисто по желанию).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за разъяснения.
Вроде работает... (к сожалению сейчас нет возможности проверить из сети за DFL-210 как это выглядит т.к. конфигурил удаленно, но по наблюдениям статуса таблицы маршрутизации при ручном дауне сессии PPPoE маршрут на wan переходит в статус Disable, при поднятии PPPoE маршрут возвращается)