Собственно, мануал к DFL-210 осилил, не могу сказать, что все понятно, но общее представление о его возможностях получил. Однако хотелось бы услышать мнение знатоков по поводу нескольких задумок, точнее возможности (или невозможности) их реализации с помощью сего девайса.

Задача 1.

Есть 3 провайдера интернета:
ISP1 - PPPoE
ISP2 - DHCP PPPoE
ISP3 - DHCP PPTP

Хочется Организовать подключение к интернету одновременно через каналы трех (а в ближайшей перспективе четырех) провайдеров с балансировкой нагрузки и перенаправлением трафика при падении линий.
Я знаю, что у DFL-210 только 2 WAN интерфейса, но ведь есть еще VLAN... Не получится ли с помощью управляемого свитча организовать эдакие дополнительные виртуальные WAN-ы?
Если это в принципе возможно, то какие ограничения имеет данная реализация?
На вскидку и сам могу увидеть несколько сложностей: во-первых на VLAN не работает DHCP-клиент, во-вторых PPPoE туннель тоже вряд-ли поднимется, как поведет себя VPN просто не знаю.
Собственно, самый тупой, но наверное рабочий вариант - прицепить на вход свитча простенький роутер типа DIR-100, который сам поднимет сессию, а на интерфейсе VLAN DFL-ки тогда будет статика. Правда, при этом настройки роутинга окажутся децентрализованы, т.к. часть правил будет обрабатываться другим устройством... Может, есть более разумные варианты, которые можно реализовать?
И самое главное - будет ли в таких схемах нормально отрабатывать балансировка и Rout Failover?

Задача 2.

В сети провайдеров имеются локальные ресурсы, причем в различных вариациях:
ISP1.
Доступ к ресурсам осуществляется через PPPoE интерфейс, но не ограничивается по скорости. К тем же ресурсам можно получить доступ и извне через каналы других провайдеров, но, естественно уже без льгот.
ISP2.
Доступ осуществляется через физический интерфейс без ограничения скорости, можно попасть и через PPPoE, но тогда скорость лимитирована. К тем же ресурсам можно получить доступ и извне через каналы других провайдеров, но, естественно уже без льгот.
ISP3.
Доступ осуществляется через физический интерфейс без ограничения скорости, можно попасть и через VPN, но тогда скорость лимитирована. К тем же ресурсам можно получить доступ и извне через каналы других провайдеров, но, естественно уже без льгот.

Хотелось бы настроить маршрутизацию трафика максимально умно, т.е. получать трафик локальных ресурсов через соответствующие интерфейсы нужных провайдеров.
С первого взгляда ничего суперстрашного нет, просто статическая маршрутизация, но для ISP2 и ISP3 есть одна заморочка - для того, чтобы узнать, что данный ресурс является локальным, нужно "спросить" его адрес у DNS-сервера соответствующего провайдера, тогда он возвращается в виде локального адреса (типа 10.х.х.х) и дальше можно рулить, но как узнать у кого спрашивать? И как отправить DNS-запрос на нужный адрес?
Второй вариант - прописывать соответствие "глобальных" и локальных IP-адресов и отправлять на физический интерфейс с заменой адреса назначения. Наверное возможно, но при большом количестве локальных ресурсов можно повеситься...
И еще плохо пердставляю как тогда в случае неработоспособности приоритетного физического интерфейса трафик автоматически направлять на другие, но уже с "глобальными" адресами?
А ведь есть еще и DNS-кэш на компьютерах и если он уже запомнил, что этот сайт имеет адрес 10.х.х.х, то он долго будет на него ломиться, а интерфейса с этой сетью нет.

Понимаю, что задачка не совсем логична, но что все-таки можно максимально выжать с помощью DFL?

Задача 3.

В сети двух провайдеров присутствует multicast (IP-TV). Причем просмотр осуществляется не только на компьютерах, но и на SET-TOP box-ах провайдеров (у каждого свои). Приставки получают адреса по DHCP от провайдеров, причеми оба выдают адреса из одной подсети (вида 10.х.х.х). На данный момент это выглядит так:

ISP1
|
VLAN свитч 1 (Internet port) -- WAN2- DFL
| (IP-TV port) --- SETTOPBOX1
| (IP-TV port) --- SETTOPBOX2
....
ISP3
|
свитч 2 ----------------------- WAN1- DFL
|----- SETTOPBOX3
|----- SETTOPBOX4
....
т.е. две подсети между собой не пересекаются. На входе ISP1 стоит VLAN-свитч, разделяющий трафик интернета и IP-TV, это оборудование провайдера и административного доступа к нему я не имею и настроек не представляю. На входе ISP3 - обычный свитч.
Хочу получить на компьтерах в локальной сети мультикаст группы от обоих провайдеров (вопросы возможности просмотра на компьютере не стоят, при соединении напрямую к входящим свитчам провайдеров на порты с мульткастом все настраивается и показывает). Проблема состоит именно в частичном слиянии трафика из двух локальных сетей разных провайдеров, при этом перед фаерволом сети по-прежнему должны оставаться изолированными, иначе начнется чехарда с DHCP на приставках, да и ввобще соединять между собой локалки двух провайдеров нехорошо.
Хочу опять-же использовать VLAN интерфейс, скомуттированный через управляемый свитч с входящим VLAN-свитчом провайдера ISP1, а на DFL настроить пропуск мультикаста из WAN1 и VLAN в LAN с IGMP Proxy.
Получится ли?
И, опять же, есть ощущение, что горожу что-то слишком громоздкое, может есть более простой и разумный способ добиться того-же результата?

Правда, IGMP прокси пока настроить не удется ,создал по этому поводу отдельную тему.

1. Вы абсолютно правильно заметили все ограничения VLAN - DHCP и РРРоЕ клиенты через них не возможны. Для РРТР (равно как и любого другого VPN) - все равно, он будет нормально работать.
Поэтому, ваш вариант (при этом дополнительные маршрутизаторы можно держать хоть в LAN, хоть в DMZ) вполне жизнеспособен. Не забудьте только на DIRах перевести DFL в DMZ.
Второй вариант, не такой простой, но тоже рабочий - использовать все физические интерфейсы под WAN, а LAN организовать VLANом. Конечно, не очень красиво, но на всякий случай вариант.
В целом, и балансировка, и резервирование будут работать нормально.

2. Вы опять же поняли основную идею правильно.
Подсети локальных ресурсов у одинаковые или нет?
Вообще, DNS - больная тема DFL. Коли определенные ресурсы вам надо будет опрашивать на разных серверах, я бы вам советовал завести свой DNS сервер (на базе того же dnsmasq), который будет провайдерские DNS резолвить на соответствующих заранее предустановленных адресах, а остальные (глобальные) - сам, при помощи корневых серверов.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Интересно, а какие скоростя у Ваших провайдеров, производительности хватит ?

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

По IP-TV есть в природе пара инструкций по настройке IPTV на DFL. Я настраивал по одной из них.

Все работает. Правда, провайдер один, в отличие от вас. Но если у вас сети провайдеров не пересекаются, то проблем, вероятно, быть не должно. Попробуйте сначала настроить для одного.

http://ftp.dlink.ru/pub/FireWall/DFL_Multicast.pdf

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

danilovav, спасибо за ответы.
Правда, не все уловил...

А, собственно, зачем? Если DIR будет сам поднимать сессию, то для DFL он по сути будет просто шлюзом на VLAN интерфейсе. Или я чего-то не понимаю?

Действительно интересная идея! Самому бы и в голову не пришло. Для 3-х провайдеров скорее всего так и сделал бы, но с перспективой появления четвертого все равно придется заморачиваться с виртуальными интерфейсами, так что пойду скорее всего по первому варианту. Если настрою одого потом могу хоть 10 провайдеров рулить ( 2 WAN + 8 VLAN )

Подсети на физических интерфейсах разные (10.10.х.х) и (10.4.х.х), но каков диапазон адресов локальных ресурсов понятия не имею, видел, что на втором интерфейсе выскакивает и (10.1.х.х) и (10.2.х.х) и (10.4.х.х), т.е. через шлюз локалка несколько "шире", чем подсеть на интерфейсе.
С DNS-сервером, конечно, можно заморочиться, но хотелось как раз все интернет-задачи разрешить на железках. Если поднимать сервера, тогда уж логично и роутинг на них переносить.
Вообще, задачку с DNS-резолвом не могу пока для себя даже толком логично сформулировать. Вряд ли удастся ее полностью решить. Скорее всего, ограничусь неким списком конкретных адресов самых нужных ресурсов и уже с ними буду крутиться.

В любом случае, спасибо за советы. На самом деле, все только начинается, думаю будет еще масса КОНКРЕТНЫХ вопросов. И я очень надеюсь на Вашу помощь.

Не думаю, что здесь будут проблемы, вроде скорость внутреннего интерфейса у DFL достаточно приличная.
У меня сейчас ISP1 - 8 Мб, ISP2 - 2 Мб, ISP3 - 7 Мб. ISP4 скорее всего будет 8-10 Мб.
(естественно, это "теоретические" скорости, на практике все немного грустнее )

Я и пытаюсь пока настраивать для одного (тем более, что второй сейчас не работает, у них где-то оборудование накрылось, чинят..). Если удастся, то дальше пожалуй справлюсь и с двумя. Настраивал по руководству NetDefend OS 2.27. Там, собственно все понятно и логично. Инструкцию по ссылке тоже читал. кроме нее нарыл на форуме и проштудировал еще несколько описаний. Разницы в настройках не наблюдаю, разве что кое-где у меня вместо all-nets стоят более суженные диапазоны. Собственно, прокси поднимается и сам мультикаст проходит, на внутреннем интерфейсе идет нормальный обмен IGMP Query и Reports, но не идет подписка на каналы с WAN интерфейса DFL. Он почему-то упорно шлет запросы IGMP v3, хотя если прицепить к тому же хвосту компьютер напрямую, виндовый клиент моментально распознает режим интерфейса IGMP v2 и все взлетает.
Я подробно описал все свои настройки и проблемы в теме
viewtopic.php?f=3&t=131684
Если будут мысли, рад буду услышать.

Про DMZ на DIR - я имею ввиду функцию DIR, чтобы входящие соединения с интерфейса передавались на определенный внутренний адрес. Это для того, если вы захотите сделать торрент тот же или что-то еще в этом роде.

Про VLAN WAN - красиво звучит, но на практике ограничения (РРРоЕ и DHCP) не дадут их использовать в большинстве случаев. Поэтому вам наверное единственным не таким извратным решением будет взять DIR, воткнуть его в LAN и прописать определенные маршруты через него.

С роутингом и DNS - DFL является устройством преимущественно 3-4 уровней, при этом не "все в одном", а настоящим маршрутизатором/файрволом. DNS это уровень 7, поэтому ни на одной железке вы его нормально (гибко) не настроите. А вот роутинг на основе IP адресов - прерогатива именно DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо, теперь понял, что имелось ввиду.

Да я, собственно, это и собираюсь сделать. Просто хочется логически изолировать этот канал от собственно LAN, для этого и хочу завести его через VLAN. Тогда на DFL можно будет более-менее полноценно роутить и фильтровать трафик этого канала.

Я и сам понимаю, что это в функции DFL в общем-то не входит.

Попробую упростить и немного переформулировать задачу:
Допустим, я ограничиваюсь неким набором из n локальных ресурсов, которые мне особо интересны. Их адреса, как локальные, так и глобальные мне известны (не рассматриваем вариант, что адрес может в общем случае и измениться, это понятно).

Хочу добиться следующего:
1. Если из LAN запрашивается ресурс с локальным адресом, то
1.1. Если соответствущий физический интерфейс жив, то отправляем на него
1.2. Если нужный интерфейс недоступен, отправляем на любой другой живой интерфейс (с all-nets), при этом заменяя адрес назначения на соответствующий глобальный.

2. Если из LAN запрашивается ресурс с глобальным адресом (или мы спросили не у того DNS и он вернул нам глобальный адрес), то
2.1. Если соответствущий физический интерфейс жив, то отправляем на него с заменой адреса назначения на соответствующий локальный адрес
2.1. Если нужный интерфейс недоступен, отправляем на любой другой живой интерфейс (с all-nets) c исходным глобальным адресом.

На все остальные локальные адреса прописываю один маршрут в локалку (подсеть). Если интерфейс недоступен, ну и черт с ним, переживем.

Интуитивно кажется, что подобная схема реализуема, хотя и громоздка. Как Вы считаете?

В целом, это возможно, но каждый хост придется описывать примерно так
Допустим, А - серый адрес, за провайдером wan1, В - аналогичный белый
Условие - ресурсы по DNS имени должны называться одинаково и ресурсы должны пинговаться

1) Interfaces > Interface groups
wans_ext = wan1_pppoe + wan2_pppoe + wan3_pptp # интерфейсы с публичными адресами
wans_all = wan1 + wan1_pppoe + wan2 + wan2_pppoe + wan3 + wan3_pptp # все wan интерфейсы

2) Routing > Routing tables > main
# маршрут на серый адрес через провайдера wan1
wan1 <А> wan1_gw 1, monitoring = yes, icmp monitoring to <А>
# общие для всех wan failover, делается один для всех
wan1_pppoe all-nets 100, monitoring = yes
wan2_pppoe all-nets 101, monitoring = yes
wan3_pptpe all-nets 102

3) Rules > IP rules (выше lan_to_wan)
# трафик до А через wan1
NAT lan/lannet wan1/<A> all_services
# трафик до A>B через внешку
SAT lan/lannet wans_ext/<A> all_services, SAT: new destination = <B>
NAT lan/lannet wans_ext/<A> all_services

Соответственно, для всех остальных хостов правила в lan_to_wan надо переделать - заменить wan1 на wans_all

Но в целом, изврат сильный т.к. 1) куча правил/маршрутов на каждый хост 2) много накладных расходов (пинг каждого хоста), за трафик конечно платить уже не надо, но есть определенные сомнения в том, насколько много таких хостов потянет DFL

В вашем случае я бы лучше заморочился с умным DNS - в фоне по предварительно определенному списку адресов резолвит адреса, проверяет доступность локального. В случае достуности выдает локальный адрес, в случае недоступности - белый.
На DFL же надо просто развести роутинг между провайдерами статически.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Danilovav, спасибо.
В целом что-то подобное мне и представлялось, но у Вас уже абсолютно готовая и понятная схема.


То. что это громоздко, бесспорно. Собственно, думаю, эту схему использовать буквально для нескольких ресурсов. Будет ли это сильно накладно, думаю можно будет определить экспериментально.
Может и вообще заморачиваться не стоит, но в любом случае информация полезна для общего развития и понимания возможностей DFL, так что лишней не будет.

Danilovav, еще вопросик.
Правильно ли я понимаю, что никакого (пусть даже очень извращенного) способа реализовать подобие Route failover для DNS-Relay не существует?

Т.е. в SAT-правиле DNS-relay прописан конкретный IP и если в данный момент он недоступен, то DNS у клиента резолвится не будет, если только не указать на клиенте резервные глобальные DNS, естественно, настроив соответствующие правила для пропуска dns-сервисов между lan и wan.

На DFL-210 - нет. Разве что использовать внешние публичные DNS (гугловые, например, 8.8.8.8 и 8.8.4.4)

На DFL-800 есть вариант делать SAT SLB с мониторингом и разведением DNS по интерфейсам роутингом, но у 210 SLB нет

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc