Всем доброго времени суток.
Такой вопрос.
Есть DFL-800. На нем в работе оба wan-порта.
Надо сделать следующее - чтоб ftp, аська шли через второй wan-порт, а http, rdp и еще некоторые сервисы через первый.
Пробовал писать правила такого содержания
for_wan1 lan lannet wan1 all-nets services_wan1
for_wan2 lan lannet wan2 all-nets services_wan2

При таких условиях прекрасно работают сервисы для wan1, но совершенно не работают сервисы для wan2.
Подскажите, пожалуйста, кто знает, что я делаю не так?

Настроить PBR по подобию
viewtopic.php?f=3&t=93443
только для сервисов, а не для внутренних адресов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не получается.
Вот если по шагам.
1. Создаем новую таблицу маршрутизации
DFL-210 - Routing - Routing Tables - Add

Name: Alt
Ordering: Only (у меня стоит first)

Сделал - only.

2. Создаем новый маршрут в таблице Alt
DFL-210 - Routing - Routing Tables - Alt - Add
Interface: wan2
Network: all-nets
Gateway: wan2_gw
Local IP Address: (None)
Metric: 70

Route wan2 all-nets wan2_gw 70 No


Сделал.

Route wan2 all-nets wan2_gw 70 No

3. Создаем правило маршрутизации
DFL-210 - Routing - Routing Rules - Add
Name: Alt_rule
Forward Table: Alt
Return Table: main
Service: Services_wan2
Schedule: (None)

Interface Source: lan
Network Source: lannet

Interface Destination: wan1 (не знаю почему, но именно так работает)
Network Destination: all-nets

Alt_rule lan lannet wan1 all-nets Services_wan2

Сделал и c wan1 и с wan2 - попробовал.

4. Создаем разрешающее правило
DFL-210 - Rules - IP Rules - Add - IP Rule

Name: Allow_wan2_services
Action: NAT
Service: Services_wan2
Schedule: (None)

Interface Source: lan
Network Source: lannet
Interface Destination: wan2
Network Destination: all-nets

После всего сервисы через ван1 работают нормально.
Сервисы через ван2 не работают почему-то.
Я что-то не так прописал?

Вроде все верно.

в п.3 можете поставить
Alt_rule lan lannet any all-nets Services_wan2

покажите вашу status-routes и таблицу main

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вот такие таблицы

И еще

И вот

всё довольно страшно

если dmz не исп-ся , верните ему начальные установки и не трогайте. и отключите дефолтный маршрут на нем.

lannet, wan1net и wan2net сделать правильными

например, если wan1_ip = a.b.c.d и маска= 255.255.255.0, то wan1net=a.b.c.0/24

и дальше в том же духе.

метрику у wan1 сделайте 90

лучше покажите всё. объекты, IP правила и все, что уже показали, но в новом виде. Если переживаете за показ реальных адресов, замазывайте у них, скажем, пару первых чисел.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

DMZ будет использоваться как резервный канал. В случае выхода из строя какого-либо из основных.
Однако, полсе указания метрики для wan1 все чудесно заработало как надо. Огромное спасибо за помощь.
Остался только вопрос - как теперь сделать, чтоб автоматом подключался резервный канал, в случае падания какого-либо из основных?
Такое возможно? Или руками придется переключать?

Настройте ICMP мониторинг

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Бросил я это занятие, поскольку когда три интерфейса WAN все равно ничего путного не выйдет.
Я совсем с метриками запутался и даже девайс пришлось перезагружать по питанию - перестал отрабатывать даже то, что работало.
Подскажите, пожалуйста, ответ только на один вопрос - как сделать так, чтобы можно было вручную перенаправить весь трафик с порта wan1 на порт dmz? Куда что прописать, чтоб потом можно было включить при необходимости?

Сперва подумалось, что вот так, как на картинках, будет работать. Однако - не хочет.

Вообще, все будет нормально работать и на 3-х, и на большем кол-ве внешних интерфейсов. Автоматически.

Это уже сотни раз сделано.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Мне бы просто понять - что в моих настройках сделано неправильно. А то уже идеи закончились.

Вы не сообщаете, что у вас не так.

Для простоты сделайте разрешающие правила как

NAT lan lannet wan_all all-nets all-services
, где wan_all - группа интерфейсов wan1, wan2, dmz

а рулить сервисами будете через PBR

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я даже и не знаю что добавить.
Скриншоты с настройками приложил.
Вот с этими настройками не удается запустить трафик через dmz вместо wan1 (имитируется аварийный вариант, когда wan1 отвалился). Просто вообще все перестает работать. Ни одна страница не открывается, скайп, аська дисконнект.