danilovav
Скажите, вы писали, что делаем альтернативные таблицы для wan и ipsec без без мониторинга, про ipsec понятно ставим в main мониторинг, а для wan тоже в main делать также мониторинг?

Использовать для мониторинга lan_ip удаленного DFL, надо же чтобы мониторинг для туннеля шел.

Вообще, мониторинг делается только в main. Альтернативные таблицы должны быть без мониторинга т.к. все пришедшие с соответствующих интерфейсов пакеты должны быть обработаны в любом случае.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

извините не допонял, все таки на дефолтные wan1 и wan2 делать мониторинг в main или необязательно? так же как и для ipsec? только для них проверку задавать уже по например днс провайдера?

Я же все писал...

Для дефолтных маршрутов на wan'ы надо мониторинг, как же иначе у вас будут работать резервирование/балансировка.

Для IPsec надо до lan_ip удаленного DFL.

Мониторинги делаются только там, где есть альтернативы - то есть в main.

В альтернативных таблицах (для wan или туннелей) мониторинг не делается.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Подскажите, какие параметры ICMP мониторинга на remote_dfl поставить ?
В частности интересуют значения параметров:
Polling Interval
Samples
Max Poll Fails
Max Average Latency

С параметрами по умолчанию вполне себе работает в обычных условиях.

Если у вас есть фоновые лаги, увеличивайте max poll fails, max avg latency. Чтобы сделать мониторинг более редким, увеличивайте polling interval. Samples означает число отправляемых тестовых пакетов, для более точного результата (но с некоторым увеличением времени реакции) увеличивайте этот параметр.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Добрый день. Имеются два DFL-1660 в филиалах на каждом из котрых по 2 ISP - цель резервирование но не балансировка wan1 wan2 и резервирование Ipsec. Настроено изначально по статье с ftp d-linka - затем добавлены PBR и Rules соответственно как написано выше. Тестирование показало что при обрвые wan1 происходит подключение через wan2 и активация второго vpn ipsec2. То есть всё в принципе работает как написано. Только один момент остался непонятный - дело в том что за DFL2 находятся сервисы www smtp к которым доступ производится через подключение к внешнему IP на первом wan1 и с помощью port forwarding пакеты передаются на локальный IP сервера. Проблема в том что когда на DFL1 отключается wan1 и происходит переключение на WAN2 то пакеты идущие в внешнюю сеть маршрутизируются нормально через wan2 а пакеты которые предназначены конкретно для внешнего ип DFL2 ( то есть подключение к веб-ресурсам почте итд) направляются через WAN1 у DFL1 - то есть на отключенный канал и не доходят. Понятно что проблема где-то в настройках таблиц или правил. В чём тут дело ?

В таблице main согласно статье по настройке Ipsec Failover - IPSec_failover_HQ_VER - есть правила маршрутизации привязывающие удалённую сеть или ип адрес удалённого маршрутизатора к определённому шлюзу - то есть
где xx - ip адрес wan2 удалённого роутера и yy шлюз на нашем роутере через который пакеты для этого ip адреса обслуживаются.
По видимому из этих правил если роутер переключится на второй канал то пакеты идущие непосредствено на первый канал удалёного роутера всё равно будут идти через шлюз первого канала и соотв не доставляться. Но без этих 2 правил не работает Failover.

Здравствуйте. У меня вопрос. Начал конфигурировать по IPSec VPN failover по инструкции в FAQ - http://dlink.ru/ru/faq/85/575.html
В пункте 3 и 9 явно не хватает информации как конфигурировать backup-IPSec-tunnel, а если быть точнее, то её там просто нет:)

Теоретически я интуитивно догадался как там настроить, но не уверен.

Так же хочу уточнить, надо что-то ещё настраивать, например PBR? Такое ощущение что надо ещё балансировку настроить(http://dlink.ru/ru/faq/85/926.html)

Такое ощущение что в чистом виде если следовать инструкции IPSec VPN failover, конфигурация работать не будет. Не хотелось бы изобретать велосипед и заниматься сбором конфигурации из разных уголков этого форума, хотя я для себя уже почти понял суть процесса конфигурирования. Жду когда приедет вторая железка чтобы на живом стенде все отрегулировать.

Инструкция писалась когда не было ICMP мониторинга - в то время более актуально было использовать OSPF
Сейчас же - мониторьте по ICMP, альтернативные таблицы на туннели и PBR обязательно нужны для поднятия туннеля после падения
Кажется, в этой же теме на прошлой странице я все расписывал

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav

Большая просьба расписать по пунктам подробно IPSec failover схему 2-1, также как в третьем посте данной темы Вы расписали схему 2-2 (нигде не нашел подробного описания).
Пробовал самостоятельно настроить 2-1, основвываясь на схеме 2-2 и Вашей рекомендации выше (denis911 Подскажите аналогичный вариант только по схеме 2-1) - не вышло, IPSec-тоннель перебрасывается на WAN2, но обратно не возвращается при поднятии WAN1, хотя WAN failover настроен и работает правильно, ping показывает, что тоннель перебросился обратно на WAN1 (пингую один из компов головного офиса с компа в филиале, по времени ответа ping-а и TTL видно), но если отключить кабель от WAN2 - IPSec-тоннель падает и долго не поднимается (т.е. реально он идет все-таки через WAN2), помогает или перезагрузка DFL-860e, либо удаление сессионных ключей IKE SA с обоих сторон (тоннель устанавливается заново)... Не могу понять в чем ошибка...Прошу помощи.

Моя схема (пока сделано так):
По одному IPSec-тоннелю на каждом D-Link-е
1) Головной офис - DFL-210, firmware 2.27.03.25-14787. Настроен только порт WAN (1 провайдер), белый IP ("чистый" Internet).
2) Филиал - DFL-860e, firmware 2.30.01.06-15901. Настроены оба порта WAN1 и WAN2 (2 провайдера), WAN1 основной - белый IP ("чистый" Internet), WAN2 резервный - на нем висит ADSL-модем , настроен бриджом, PPPoE-сессия поднята в D-Link-е. (Можно конечно поднять PPPoE-сессию в модеме, а на D-Link-е на WAN2 выставить белый IP, пока так не делал).

Также вопрос - какой из механизмов поддержания тоннелей поднятыми лучше (реагирует быстрее и поднимает тоннель) - Keep Alive или Dead Peer Detection? (прочитал, что они несовместимы, надо включать или то или другое). Соответственно как правильно настроить этот механизм.

При схеме 2-1 важно, чтобы DFL-860E отвечал на запросы DFL-210 только по одному каналу
Различия минимальны, с учетом того что вы делаете один туннель

На DFL-210 (центр)

1) Objects > Address book
Делаете группу dfl860e_ip из двух IP адресов DFL-860E, причем выше ставите основной адрес

2) Interfaces > IPsec
Используете группу dfl860e_ip в IPsec

На DFL-860E (филиал), если настроена одновременная доступность каналов

1) Routing > Routing rules
any/dfl_210ip any/all-nets, service ipsec_suite, forward main, return main
Надо поставить выше других правил

По поводу NAT - не надо

По поводу DPD/Keep alive - в вашем случае лучше DPD, чтобы ненужные SA удалялись
Трафик создать можно запустив ICMP мониторинг на тоннель

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav, Вы пишете:

>> При схеме 2-1 важно, чтобы DFL-860e отвечал на запросы DFL-210 только по одному каналу
и тут же:
>> На DFL-860E (филиал), если настроена одновременная доступность каналов

На ответ denis911 Вы пишете: >> На DFL с двумя WAN не надо настраивать одновременную доступность обоих WAN - должен отвечать только один.

Так все-таки, нужно или нет настраивать одновременную доступность обоих каналов WAN на DFL-860e (в моем случае) ?

Я НЕ НАСТРАИВАЛ одновременную доступность обоих WAN.

Если по пунктам как я настраивал: (рассматриваем случай когда оба WAN имеют белый IP, для простоты рассмотрения)
СДЕЛАЛ
На DFL-210 (центр)
1) Objects > Address book
Делаете группу dfl860e_ip из двух IP адресов DFL-860e, причем выше ставите основной адрес
2) Interfaces > IPsec
Используете группу dfl860e_ip в IPsec

Теперь Ваша рекомендация по схеме 2-2, применяю ее к 2-1: (делаю по пунктам, применяю изменения и смотрю, не упал ли IPSec-тоннель)

На DFL-860e (филиал):

1) Objects > Address book > RemoteNetworks
>> Делаете объекты
remote_ip1 - адрес wan удаленного DFL (210, центр) СДЕЛАЛ
remote_net - lannet удаленного DFL
remote_dfl - lan_ip удаленного DFL


2) Routing > Routing tables > main
>> Добавляете маршруты
wan1 remote_ip1 wan1_gw 1
wan2 remote_ip2 wan2_gw 1

Я делаю:
wan1 remote_ip1 wan1_gw 1
wan2 remote_ip1 wan2_gw 1 (т.к. в центре на DFL-210 настроен один WAN-порт, как раз и получается "треугольная" схема 2-1)
Если ставлю эти маршруты и применяю - тоннель падает, поэтому в дальнейшем от этого отказался, но в центре на DFL-210 сделано так:
wan remote_ip1 wan_gw 1
wan remote_ip2 wan_gw 1

3) Interfaces > IPsec
Настраиваю ОДИН тоннель ipsec_remote1, автоматическое создание маршрута отключаю (пробовал включить Keep Alive - Auto, а Dead Peer Detection отключить)

4) Interfaces > Interface groups
Делаю группу ipsec_remote из ipsec_remote1 (хотя это можно не делать, т.к. ОДИН тоннель, и в п.5 поставить правильно правила)

5) Rules > IP rules
Делаете правила
Allow ipsec_remote/remote_net core/lan_ip ping-inbound
Allow ipsec_remote/remote_net lan/lannet all_services
Allow lan/lannet ipsec_remote/remote_net all_services
СДЕЛАЛ

6) Routing > Routing tables > main
Делаю ОДИН маршрут на туннель с применением ICMP-мониторинга на remote_dfl
ipsec_remote1 remote_net 90 (в FAQ метрика стоит 60 на первый тоннель, оставляю ее)

7) >> Routing > Routing tables
Добавляете таблицу маршрутизации alt_wan1 с ordering only, добавляете в нее единственный дефолтный маршрут на wan1 без мониторинга - wan1 all-nets wan1_gw 100
Аналогично для wan2 (alt_wan2)
Добавляете таблицу alt_ipsec_remote1, добавляете в нее единственный маршрут - ipsec_remote1 all-nets 100

Все СДАЛАЛ кроме пункта "Аналогично для ipsec_remote2 (alt_ipsec_remote2)", это не делаю, т.к. ОДИН тоннель

На DFL-210 в центре - только main, alt_wan и alt_ipsec_remote1

8 ) Routing > Routing rules Делаю так (для 2-1):

>> Если вам не надо одновременную доступность обоих WAN-ов, то первые два правила можно переписать в виде
wan1/remote_ip1 any/all-nets, forward main, return alt_wan1 all_services
wan2/remote_ip1 any/all-nets, forward main, return alt_wan2 all_services (опять же т.к ОДИН тоннель)

(На DFL-210 в центре делаю: wan/dfl860e_ip any/all-nets, forward main, return alt_wan all_services )

и ОДНО правило, т.к. нет второго тоннеля:
ipsec_remote1/all-nets any/all-nets, forward main, return alt_ipsec_remote1 all_services



ВСЁ. Эффект от этого описан в моей просьбе о помощи. Может, конечно, все это происходит из-за того, что сессионный ключ IKE SA не удалился автоматически при переброске IPSec-тоннеля обратно на WAN1 (Пробовал с Keep Alive, т.к. техподдержка D-Link сказала, что он реагирует быстрее, а на Dead Peer Detection задержка в поднятии тоннеля до 90 секунд. Мне важна быстрота переброски).

Поправьте, пожалуйста, если я не прав. Заранее благодарен.

Не надо маршрутов ни там, ни там
В филиале (правильно заимечено) они рушат все, в центре просто не работают


Включите автосоздание маршрута для простоты. Мониторить единственный туннель для начала не нужно


Уберите, вы этим как раз сделали что филиальный DFL отвечает по обоим каналам, что для 2-1 крайне не нужно

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо, все получилось.

Убрал то что Вы сказали, остальное оставил, включил мониторинг тоннеля по ICMP на Remote_DFL на обоих DFL.
Включил Dead Peer Detection, отключил Keep Alive (полностью в Off, при Auto - не поднимается тоннель).

Время переключения в данном случае - 2 минуты, поэтому вопрос - можно ли какими-либо настройками ускорить поднятие тоннеля при включенном DPD (есть только галка включения, сам же механизм не нашел как регулируется, или другим механизмом, хотелось бы побыстрее).

И еще, применительно к 2-1, Вы сказали убрать Routing Rules, нужно ли убирать (или отключить) используемые ими таблицы alt_wan1 и alt_wan2 на филиальном DFL? (alt_ipsec_remote1 я оставляю)

В центре alt_wan я оставил, т.к. там прописано правило: wan/dfl860e_ip any/all-nets, forward main, return alt_wan all_services
На филиальном прописал как Вы сказали: >> any/dfl_210ip any/all-nets, service ipsec_suite, forward main, return main Надо поставить выше других правил