Есть два провайдера , каждый выделяет по статике пулы IP адресов по 5 шт . Настройл в начале резервирование канала , все переключается и работает .
Теперь дошла очередь до пробросов портов . В ARP добавлены все внешнии IP обоих провайдеров .
В нутри сети есть 5 серверов , каждый должен выходить через свой IP , ну и проброс портов при обращении к IP соответственно из вне . Когда 1 провайдер то вопросов нет , знаю как заставить выходить через нужный внешний IP и знаю как заставить прокинуть порты из вне через нужный внешний IP .
А тепер вопрос как настроить резервный канал так, чтоб при отключении основного внутри сервера также соответственно выходили через нужные IP и пробрасовались порты из вне через нужный IP но уже второго провайдера ??

Не очень понятно, какого "переключения проброса портов" Вы хотите? Допустим, сервер #1 имеет на wan1 внешний ip 1.1.1.1, на wan2 - 2.2.2.2. Если wan1 упадет, 1.1.1.1 станет недоступен. Привязать 1.1.1.1 на wan2 принципиально невозможно -- не будет маршрутизации из Инета. Придется вручную переключать клиентов на 2.2.2.2. Можно задать два IP на одно имя в DNS при включенном round robin. Но не все программы при недоступности одного адреса стучатся на второй, а если и стучатся, то после большого таймаута. Чтобы сделать реальное резервирование для ВХОДЯЩИХ СОЕДИНЕНИЙ, нужно получать провайдеро-независимый блок IP-адресов и регестрировать автономную систему.

А вот сделать один сервер одновременно доступным по двум адресам от разных провайдеров можно, используя policy routing. Сделайте две таблицы, кроме main: wan1_return и wan2_return. В первой пропишите только маршрут в Интернет через wan1 (безо всякого RFO мониторинга!), во второй - только через wan2. И правила: 1) source interface=wan1 -> forward table=main, return table=wan1_return, 2) source interface=wan2 -> forward table=main, return table=wan2_return. Т. е. если уж запрос прошел на адрес wan2, ответ должен идти с этого адреса, независимо от метрик и работы RFO. У меня так работает при одном IP на каждом интерфейсе, но, надеюсь, и с несколькими будет работать.

Попробую еще раз объяснить на примере :
Есть внутри на пример 2 сервера 192.168.1.2 и 192.168.1.3
Выходят они через основного провайдера 192.168.1.2 выход и вход всех портов - 1.1.1.1
А 192.168.1.3 через основного провайдера выход и вход всех портов - 2.2.2.2
такую схему сделать легко. Но на WAN2 есть резервный провайдера ( канал который должен работать только когда первый не работает ) . У резервного провайдера тоже несколько внешних адресов, и надо чтоб когда срабатывает резервная лиия то сервер 192.168.1.2 выходил и вход всех портов через резервного 3.3.3.3
А сервер 192.168.1.3 выход и вход всех портов через резервного 4.4.4.4
Когда у каждого провайдера по 1 IP , то настроить легко , простое резервно соединение с мониторингом, но у меня несколько серверов и несколько IP, и заставить их выходить и входить через определенные внешние адреса как раз задача.

1. Выход через второго провайдера осуществляется через NAT IP правила с указанием отправителя, что вы и так уже делали, и настройку Failover (резевирование)

2. проброс портов со второго провайдера здесь
viewtopic.php?t=65359&start=14

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Выход портов прописал, но там можно указать или 1 ip или пул , но пул на сколько я понимаю работает только если адреса в пуле находятся в одном wan, то есть если в пуле указать один внешний ip с wan1 и один внешний с wan 2 - то пул работать не будет. Или я ошибаюсь ?
Ну и на входе если я создам два правила SAT с разными внешними IP и wan - будут ли они правильно работать.
В общем я вообще подумал попробовать пропивать просто несколько правил под каждый внешний ip, на выход и на вход , и с указанием в правее не wans, а wan1 и wan2 , и тоже по несколько правил SAT тоже по аналогии, так должно работать ????

Не надо все валить в одну кучу. сделайте для начала пункт 2.

затем резервирование

И на каждый сервер 2 правила на выход (1,2 wan) и 4 правила на вход (SAT allow на каждый wan).

Или в ином порядке. Но делайте все по очереди.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо дружище, ты подтвердил мои догадки.
Получается не обезаьельно на выходе прописавать одно правило с wans, а можно два правила с wan1 со своим ip, и wan2 со своим, ну и соответственно на входе sat правила.

Если Вам для исходящих соединений нужно фиксированное, 1:1 соответствие внутреннего и внешнего ip и номера порта, нужно на выход также использовать SAT (+Allow), а не NAT. Пул NAT предназначен только для увеличения числа NAT-connections.

В общем пока нормально не заработало !!!
На исходящее с SAT совсем на работает . И мне надо ну как в краце в общем сделать в нутри 5 DMZ , чтоб они пока работает основной канал WAN1 каждый выходил и получал через отдельный выделенный IP, при аварии на WAN1 только тогда преключалось на WAN2 и тут тоже каждый DMZ выходил и получал через выделенный IP но уже вротого провайдера .
Схема не сложная , если бы было по одному IP от каждого провайдера , то тут настравить легко.
Пока рабочая конфигурация такая - ну маршруты от WAN1 с резервированием на WAN2 срабатывает только в том случае если в правиле NAT указан внешний порт WANS ( в нем WAN1 и WAN2 ) , в этом правиле во вкладке NAT могу указать внешний исходящий IP только один , или natpool.
Вот как настроить NatPool ? Хочу прописать туда два внешних IP , но от разных провайдеров , ну в общем эти IP висят на разных WAN .
Делал два правила NAT , с указанием разных WAN на выход и разных внешнийх IP . Тот что основной WAN1 работает а вот на WAN2 нет , хотя DNS релеится значить резервная линия срабатывает , а пакеты по правилу второму уже не проходят .
Вот думаю не ужеле у меня одного приходята два провайдера с пулами IP , и их на них во вне надо высветить сервеар .
Выявил тут интересный момент ---
Проба пера заново....
прописываю по два правила NAT один сервер например 192.168.1.10 , одно правило WAN1 - ip в вкладке NAT в правиле указываю на выход любой из 5 внешних выданных провайдером например 1.1.1.1 . WAN1 у меня основной с мониторингом состояния по пингу . Далее создаю второе правило NAT и тот же сервер 192.168.1.10 выпускаю уже через WAN2 . Так вот если во вкладке NAT во втором правиле ничего не указывать или указать IP первый из пула ( ну он же ставится по умолчанию ) который дает второй резервный провайдер то все работает
Но если во втором правиле в NAT указать второй, третий и так далее IP из пула второго провайдера , то увы не работает .

А вы все эти адреса по 5 штук привязали на wan1 и wan2?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да конечно в ARP они прописаны , по 5 штук на каждый свой WAN .
Проблемка именно почему через WAN2 выходит только через первый IP пула ....., указав второй или третий и так далее уже не выпускает . DNS релеится нормально , а в инет не выпускает .....

Для дополнительных адресов, добавляемых через ARP Publish, нужно еще вручную создавать маршрут через интерфейс core. Проверьте, пингуются ли извне все Ваши 10 адресов (разрешив отвечать на ping соответствующим правилом). SAT на выход работает, может Вы забыли включить трансляцию Source вместо Destination?

Меня пока не волнует портфорвардинг , мне надо в начале заставить выпускать во вне правильно.
Я же говорю что во вне если через wan1 все отлично выпускается и спокойно выставляется и wan1-ip2, и wan1-ip3 и так далее, в правиле nat.
Но когда срабатывает резервный WAN2 то выпускается только через один (первый, он же по умолчанию и он wan2-ip), выставив в nat выпускать через wan2-ip2 и так далее - уже не выпускается.

Ну, тогда смотрите, чем у Вас отличается WAN2 от WAN1. В самой железке они ничем не отличаются -- WAN1, WAN2, DMZ, LAN -- только надписи на передней панели, все остальное -- конфигурация.

Поддерживаю предыдущего оратора. WAN2 сделайте основным и добейтесь, чтобы с него работали 5 адресов как надо.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.