faq обучение настройка
Текущее время: Чт авг 14, 2025 04:34

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 25 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DFL-1660, 260E
СообщениеДобавлено: Ср июн 01, 2011 20:46 
Не в сети

Зарегистрирован: Ср ноя 10, 2004 12:27
Сообщений: 76
Добрый вечер
имеется вопросики
1)Проверяется ли трафик в тунеле IPsec встроенным антивирусом ?
2) Есть задача настроить DFL-1660 для работы с двумя провайдерами, при этом активны интерфейсы LAN1 и LAN2 причем из сети LAN1 выходить через WAN1, а из сети LAN2 выходить через WAN2 также также на обоих WANах поднять IPsec с удаленными DFL в соответсвующие внутр сети. Возможно это ? Какие тонкости учесть ?
3) У кого DFL-260E ставится ли у вас прошивка 2.27.03.25 ? ( у меня нет :( )
4) поднят IPSec между девайсами достаточно ли keep-alive включить в режиме авто на одном из девайсов ?
5) подняты тунели есть необходимость из сети "А" обращаться к ПК сети "Б" по имени а не по IP в сети "Б" есть свой ДНС сервер как грамотно седалть чтобы компы из сети "А" использовали этот ДНС ?

заранее спасибо


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 02:25 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Alexkzn писал(а):
Добрый вечер
имеется вопросики
1)Проверяется ли трафик в тунеле IPsec встроенным антивирусом ?

Да.
Alexkzn писал(а):
2) Есть задача настроить DFL-1660 для работы с двумя провайдерами, при этом активны интерфейсы LAN1 и LAN2 причем из сети LAN1 выходить через WAN1, а из сети LAN2 выходить через WAN2 также также на обоих WANах поднять IPsec с удаленными DFL в соответсвующие внутр сети. Возможно это ? Какие тонкости учесть ?

Да, возможно. Особо никаких, если вопрос в целом. А нюансы только на конкретной схеме.
Alexkzn писал(а):
3) У кого DFL-260E ставится ли у вас прошивка 2.27.03.25 ? ( у меня нет :( )

У меня, правда, DFL-860E. Без проблем поставил самую свежую с нормальным шифрованием. Но тут были отзывы тех, у кого все ОК и с DLF-260E.
Alexkzn писал(а):
4) поднят IPSec между девайсами достаточно ли keep-alive включить в режиме авто на одном из девайсов ?

Вполне. Но если один из пиров находится за NATом, то функцию включать именно на нем.
Alexkzn писал(а):
5) подняты тунели есть необходимость из сети "А" обращаться к ПК сети "Б" по имени а не по IP в сети "Б" есть свой ДНС сервер как грамотно седалть чтобы компы из сети "А" использовали этот ДНС ?

В качестве одного из DNS (например, третичным) выдавать удаленный DNS на DHCP-сервере в сети "А". Либо прописать на компах сети "А" в hosts конкретные имена и IP. Все зависит от кол-ва машин и частоте их миграции, обновления парка.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 07:49 
Не в сети

Зарегистрирован: Ср ноя 10, 2004 12:27
Сообщений: 76
по поводу ДНС , в тестовой среде на ПК ручками указаны два ДНС 1) ДНС провайдера 2) ДНС сервер который в удаленной сети

при такой схеме резолвятся все внешние имена типа mail.ru и т.д , но не резолвятся имена из удаленной сети
с файлом host связываться не хочется
буду дальше копать.......


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 13:11 
Не в сети

Зарегистрирован: Ср ноя 10, 2004 12:27
Сообщений: 76
еще по вопросу двух провайдеров, нужна одновременная работа
связка LAN1 < - >WAN1 работает без проблем ,IPSec там тоже без проблем
связка LAN2 < - >WAN2 не работает ни инет ни IPSec , для интерфейса WAN2 дефолтом указан гейт второго провайдера он пингуется с DFL1660 из сети LAN2 пакеты не ходят правила доступа идентичны дефолтным правилам (lan1_to_wan1)
куда копать ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 14:47 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Alexkzn писал(а):
еще по вопросу двух провайдеров, нужна одновременная работа
связка LAN1 < - >WAN1 работает без проблем ,IPSec там тоже без проблем
связка LAN2 < - >WAN2 не работает ни инет ни IPSec , для интерфейса WAN2 дефолтом указан гейт второго провайдера он пингуется с DFL1660 из сети LAN2 пакеты не ходят правила доступа идентичны дефолтным правилам (lan1_to_wan1)
куда копать ?

Скорее всего в маршрутах дело. Без адресации сетей и маршрутов сложно сказать.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 14:58 
Не в сети

Зарегистрирован: Ср ноя 10, 2004 12:27
Сообщений: 76
сейчас как раз копаю маршруты
а что с адресацией , например имеем сети
сеть LAN1 172.16.0.0
LAN2 192.168.10.0
компы в этих сетях не пересекаются
WAN1 и WAN2 от разных провайдерев
???
пока в поисках истины...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 15:08 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Alexkzn писал(а):
WAN1 и WAN2 от разных провайдерев

Вот здесь и вопросы. Яндекс, например, и там, и там есть. И когда идет пинг из LAN2, пакет уходит на LAN1, хотя правилом разрешено ему идти только на WAN2. В этом случае используют PBR

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 15:18 
Не в сети

Зарегистрирован: Ср ноя 10, 2004 12:27
Сообщений: 76
читаю про PBR везде примеры когда один из провайдеров резервный со всеми вытекающими таблицами , а мне нужно чтобы оба сразу работали
в общем весь в экспериментах...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 15:53 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Alexkzn писал(а):
читаю про PBR везде примеры когда один из провайдеров резервный со всеми вытекающими таблицами , а мне нужно чтобы оба сразу работали
в общем весь в экспериментах...

Потому что это наиболее частое применение.
1) Делаете в main один маршрут до all-nets, скажем wan1->all-nets 100 (т.е. по умолчанию со всех интерфейсов трафик до all-nets пойдет через wan1)
2) Создаете еще одну таблицу маршрутизации, в которой единственный маршрут wan2->all-nets 100
3) В Routing Rules пишем правило:
Forward routing table: наша созданная таблица в п.2
Return routing table: main
Service: all_services
Interface Source: LAN1
Interface Network: lan1_net
Interface Destination: wan1
Interface Network: all-nets

Теперь трафик из lan1/lan1_net по правилу PBR пойдет через другую таблицу, в которой маршрут до all-nets указан строго через WAN2.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 16:32 
Не в сети

Зарегистрирован: Ср ноя 10, 2004 12:27
Сообщений: 76
Не совсем то что нужно запутался совсем
в общем по порядку
Есть две внутр сети LAN1 и LAN2 в них группы компов, есть два провайдреа два внешних интерфейса WAN1 и WAN2.
На данный момент мне нужно чтобы компы из сети LAN1 выходили в инет через WAN1 (так сейчас все работает без проблем потому дефолтные маршруты)
а компы из сети LAN2 выходили в инет через WAN2, тут засада пока не разобрался

что сделал (связку LAN1-WAN1 не трогаем она работает)
прописал IP на внешнем интерфейсе WAN2 , в InterfaceAddresses добавил шлюз wan2_gw далее зашел в interfaces->Ethernet выбрал wan2 и включил wan2_gw далее во вкладке Advanced есть опции

Automatically add a route for this interface using the given network.
Automatically add a default route for this interface using the given default gateway

по умолчанию они включены , в мануалах которые встречаются в инете их выключают и пишут маршруты вручную
В данном случае что с ними делать ?
Далее добавлял маршруты как писал Dima G только с интерфесами lan2 исходящая и обратная маршрутизация какая должна быть ? Моя и main или ?
Прошу учесть что у меня две внутренние сети, а не одна как во всех примерах и доках, маршруты LAN2 тоже менять ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 17:08 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Alexkzn писал(а):
Не совсем то что нужно запутался совсем
в общем по порядку
Есть две внутр сети LAN1 и LAN2 в них группы компов, есть два провайдреа два внешних интерфейса WAN1 и WAN2.
На данный момент мне нужно чтобы компы из сети LAN1 выходили в инет через WAN1 (так сейчас все работает без проблем потому дефолтные маршруты)
а компы из сети LAN2 выходили в инет через WAN2, тут засада пока не разобрался

Я именно это и написал. Просто вышла опечатка :) Последнее мое предложение в предыдущем сообщении читать так:
Теперь трафик из lan2/lan2_net по правилу PBR пойдет через другую таблицу, в которой маршрут до all-nets указан строго через WAN2.

Теперь вопросы остались? :)

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 17:09 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Alexkzn писал(а):
Прошу учесть что у меня две внутренние сети, а не одна как во всех примерах и доках, маршруты LAN2 тоже менять ?

Я это учел. Именно единственным правилом мы и добиваемся, что вся подсеть за LAN2 пойдет через WAN2.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 19:32 
Не в сети

Зарегистрирован: Ср ноя 10, 2004 12:27
Сообщений: 76
не работает так почему то

что делать с дефолтными маршрутами ?
завтра скрины с маршрутами выложу...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Чт июн 02, 2011 20:25 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Alexkzn писал(а):
не работает так почему то

На это могут быть другие причины, надо копать более подробно.
Alexkzn писал(а):
что делать с дефолтными маршрутами ?

Ничего. Должен быть один дефолтный маршрут в main, как я выше написал.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-1660, 260E
СообщениеДобавлено: Пт июн 03, 2011 09:09 
Не в сети

Зарегистрирован: Ср ноя 10, 2004 12:27
Сообщений: 76
Доброе утро
вот скрины...

вот интерфейсы
http://www.fotolinker.ru/pictures/6a4ca ... 1fb5e5.jpg

вот маршруты по умолчанию (два маршрута заштрихованы, это VPN они выключены)

http://www.fotolinker.ru/pictures/320ea ... 156f69.jpg
с ними не работает хоть и добавлял новую табл маршрутизации


сделал вот так
http://www.fotolinker.ru/pictures/aa71b ... 8f5592.jpg
добавил еще одну таблицу
http://www.fotolinker.ru/pictures/43289 ... 6dae54.jpg
добавил правило маршрутизации
http://www.fotolinker.ru/pictures/dbc2e ... 250618.jpg
добавил правила доступа из lan2 в wan2
http://www.fotolinker.ru/pictures/d4430 ... 8fbb26.jpg


Куда смотреть , что не доглядел ?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 25 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 279


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB