faq обучение настройка
Текущее время: Чт мар 28, 2024 16:49

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 20 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Ср авг 03, 2011 16:17 
Не в сети

Зарегистрирован: Ср сен 16, 2009 13:07
Сообщений: 69
Изображение


DGW – Default gateway
Слева текущая схема. ISP1, провайдер который используется только для доступа пользователей главного офиса в интернет, ISP2, провайдер который используется для организации IPSec VPN туннеля с удаленными офисами, подключения удаленных пользователей, подключение клиентов к нашему web-серверу и отправку/получения почты, заходят к нам по одному кабелю(ISP2 использует ISP1 как транспорт ), который часто обрывают :? . Для решения этой проблемы(а так же для поднятия скорости VPN каналов) был приобретен DFL-860E, и резервный канал ISP3. А вот теперь вопрос, можно ли с помощью DFL решить такие проблемы:
1. Доступность нашего web-сервера и почты, при падении ISP2.
2. Работа IPSec VPN туннеля с удаленными офисами при падении ISP2.
3. При падении IPS1(как правило ISP2 тоже падает), обеспечить возможность выхода в инет 2-3 пользователей главного офиса без физического вмешательства(вручную изменение DGW на компьютерах). На всех пользовательских ПК установлен ISA Client

С первым пунктом все, вроде, понятно. WAN-порты объединить в группу, настроить Host Monitoring и Route Failover, и правильно прописать IP Rules для группы WAN-портов(поправьте если ошибаюсь).
А вот с пунктом два, мне не совсем понятно… Туннель настроен на WAN_IP ISP2 <--> WAN_IP_remote_Office_ISP, если ISP2 на офисе падает, DFL переключает весь трафик на ISP3, DI-804HV на удаленных офисах не видят WAN_ISP2, итог туннели лежат.
В инструкции написано вроде можно в таком случае использовать Route Load Balancing with VPN, но я не совсем понял как его использовать. И можно ли одновременно использовать Host Monitoring и Route Failover и Route Load Balancing with VPN?
А с третьим пунктом, может попробовать сразу требуемым компам поставить DGW на DFL (10.100.0.235), если ISA Client включен – трафик идет через ISA Server, если ISA Client отключить, трафик будет идти через DFL. Но тогда у пользователей будут проблемы – забыл включить/выключить/что я должен отключить? :|

Буду очень рад выслушать ваши рекомендации, комментарии, решения. Спасибо.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср авг 03, 2011 23:18 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
1. Да
2. Нет, тут узкое место DI
Замените на DFL мелкий, он умеет 2 эндпоинта в IPsec
3. Если ISA client даст заменить шлюз, то да. С точки зрения DFL без проблем

>В инструкции написано вроде можно в таком случае использовать Route Load Balancing with VPN, но я не совсем понял как его использовать. И можно ли одновременно использовать Host Monitoring и Route Failover и Route Load Balancing with VPN?
Можно все это делать, но 2 VPN с DI вы не построите

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт авг 04, 2011 04:31 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
danilovav писал(а):
serzh_84 писал(а):
3. При падении IPS1(как правило ISP2 тоже падает), обеспечить возможность выхода в инет 2-3 пользователей главного офиса без физического вмешательства(вручную изменение DGW на компьютерах). На всех пользовательских ПК установлен ISA Client

3. Если ISA client даст заменить шлюз, то да. С точки зрения DFL без проблем

Менять вручную шлюз и галкой выключать ISA клиент - без проблем.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт авг 04, 2011 12:47 
Не в сети

Зарегистрирован: Ср сен 16, 2009 13:07
Сообщений: 69
danilovav писал(а):
1. Да
2. Нет, тут узкое место DI
Замените на DFL мелкий, он умеет 2 эндпоинта в IPsec
3. Если ISA client даст заменить шлюз, то да. С точки зрения DFL без проблем

>В инструкции написано вроде можно в таком случае использовать Route Load Balancing with VPN, но я не совсем понял как его использовать. И можно ли одновременно использовать Host Monitoring и Route Failover и Route Load Balancing with VPN?
Можно все это делать, но 2 VPN с DI вы не построите

Спасибо огромное!!!! Это очень важный совет! Буду потихоньку переводить удаленные офисы DFL-260


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт авг 04, 2011 13:13 
Не в сети

Зарегистрирован: Ср сен 16, 2009 13:07
Сообщений: 69
YuriAM писал(а):
danilovav писал(а):
serzh_84 писал(а):
3. При падении IPS1(как правило ISP2 тоже падает), обеспечить возможность выхода в инет 2-3 пользователей главного офиса без физического вмешательства(вручную изменение DGW на компьютерах). На всех пользовательских ПК установлен ISA Client

3. Если ISA client даст заменить шлюз, то да. С точки зрения DFL без проблем

Менять вручную шлюз и галкой выключать ISA клиент - без проблем.

а можно ли как-то придумать что б вручную никаких телодвижений не делать?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт авг 04, 2011 13:35 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
serzh_84 писал(а):
YuriAM писал(а):
Менять вручную шлюз и галкой выключать ISA клиент - без проблем.

а можно ли как-то придумать что б вручную никаких телодвижений не делать?

А сервер ISA - обязательный элемент? без него можно все автоматически.

С ним автоматическое решение не могу придумать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт авг 04, 2011 14:54 
Не в сети

Зарегистрирован: Ср сен 16, 2009 13:07
Сообщений: 69
YuriAM писал(а):
serzh_84 писал(а):
YuriAM писал(а):
Менять вручную шлюз и галкой выключать ISA клиент - без проблем.

а можно ли как-то придумать что б вручную никаких телодвижений не делать?

А сервер ISA - обязательный элемент? без него можно все автоматически.

С ним автоматическое решение не могу придумать.


На ISA уже много правил настроено, переносить не хочется, та и делить один ISP с VPN и офисом не сильно хорошо... Шейпи нужно будет строить.. Лень :)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт авг 04, 2011 15:04 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
serzh_84 писал(а):
... та и делить один ISP с VPN и офисом не сильно хорошо... Шейпи нужно будет строить.. Лень :)
Можно будет также пустить их по разным каналам.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт авг 05, 2011 19:04 
Не в сети

Зарегистрирован: Ср сен 16, 2009 13:07
Сообщений: 69
Вчера ночью перенастраивал сеть с DI-804HV на DFL-860E... За ночь все IPSec туннели, IP Rules и Routы успел перестроить, все вроде поднялось кроме Host Monitor и Route Failover.
Я ниже отпишусь что и в каком порядке я делал, поправьте меня пожалуйста.
В adress book указываю wan1_ip, wan1net, wan1_gw, wan2_ip, wan2net, wan2_gw. Далее иду в Interface Groups - создаю новую группу - wans, туда добавляю wan1 и wan2.
Потом Interface -> Ethernet -> wan2-> ставлю Default Gateway -> wan2_gw; wan1 -> advanced -> снимаю чекс боксы с "Automatically add a route for this interface using the given network " и " Automatically add a default route for this interface using the given default gateway."
Захожу в Routing Tables "main" -> добавляю два маршрута для:
1)interface -> wan1 | network -> wan1net | metric 90 | Monitor - > Monitor Interface Link Status
2)interface -> wan1 | network -> all-nets | GW -> wan1_gw | metric 90 | Monitor -> Monitor Interface Link Status; Monitor Gateway using ARP
Потом в IP Rules - > меняю все destination interface на wans(вместо wan1).
Сохраняю конфигурацию.
Сценарий 1 - подключено оба провайдера.
Инет есть, но работает через wan2, сморю в Status -> Routes , статус маршрута через wan1 - Monitored И Disable(????????)
Сценарий 2 - подключен только wan1
Инета нет, шлюз не пингуется, сморю в Status -> Routes , статус маршрута через wan1 - Monitored И Disable(????????)
Сейчас wan2 отключен, маршруты на wan1 добавлены автоматом, все работает через wan1
Подскажите, пожалуйста, где я тупил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн авг 08, 2011 16:11 
Не в сети

Зарегистрирован: Ср сен 16, 2009 13:07
Сообщений: 69
все пропали? :(


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн авг 08, 2011 18:33 
Не в сети

Зарегистрирован: Чт дек 03, 2009 23:48
Сообщений: 169
Откуда: Москва
Судя по написанному, DFL-ке не удается получить через ARP данные на wan1_gw, поэтому маршрут отключается.
Через интерфейс wan1 адрес wan1_gw доступен?

Можно монитор настраивать последовательно.
Вначале включить Monitor Interface Link Status и проверить правильно ли все работает, если выдернуть кабель.
Далее разбираться с Monitor Gateway using ARP. Попробовать вместо Monitor Gateway using ARP использовать Host Monitor с адресом того же wan1_gw, но ICMP метод (ping).
У меня настроен ICMP Host Monitor на 8.8.8.8

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн авг 08, 2011 23:31 
Не в сети

Зарегистрирован: Ср сен 16, 2009 13:07
Сообщений: 69
блин, вообще бред какой-то....
сейчас подключен только wan1. Интет работает
захожу в route main -> маршрут wa1 - wan1net -> ставлю галочку monitor и monitor interface lisk status и сохраняю настройки,
захожу status route - > маршрут wan1 - wan1net статус monitoring И disable
И тоже самое с маршрутом wan1 - all-net - wan1_gw, только включаю monitor interface lisk status сразу маршрут выключается. Это че за фигня?????? Железяка считает что кабель не подключен???? Но ведь когда монитор отключаю все ж работает......
и патчкорд завдской между провайдерской железкой и dfl......


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт авг 09, 2011 05:43 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Мониторить надо
1) не wan1/wan1net, а wan1/all-nets
2) не link status, а только пингом до внешних серверов

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт авг 09, 2011 14:32 
Не в сети

Зарегистрирован: Ср сен 16, 2009 13:07
Сообщений: 69
danilovav писал(а):
Мониторить надо
1) не wan1/wan1net, а wan1/all-nets
2) не link status, а только пингом до внешних серверов

хм, во всех help'ах на сайте и ftp dlink указывают что нужно включать мониторинг на двух маршрутах
1. wan1/wan1net - link status
2. wan1/all-nets - lik status + ARP GW + к любому хосту по желению
но в любом случае, спасибо за совет. Сегодня ночью проверю.
Главно что б работало. )


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт авг 09, 2011 20:40 
Не в сети

Зарегистрирован: Чт дек 03, 2009 23:48
Сообщений: 169
Откуда: Москва
Монитор нужно ставить только на те маршруты, которыми нужно управлять (включать/отключать).
Если по wan1/wan1net не идет интернет и его не нужно переключать, то зачем ставить монитор?
ARP GW не везде можно поставить, например при PPPoE соединении GW попросту нет.
Да и "пробивать" GW не всегда хорошо, так как он может быть доступен, а вот Интернет вам не выдавать, поэтому нужно смотреть внешние адреса.

Действительно, главное настроить так, чтобы работало ;)

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 20 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB