faq обучение настройка
Текущее время: Вс июл 27, 2025 15:21

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Чт апр 18, 2013 15:36 
Не в сети

Зарегистрирован: Чт фев 07, 2008 15:53
Сообщений: 33
Есть 2 ISP. Первый провайдер используется только для доступа в интернет. От второго провайдера приходят 2 кабеля, на dfl-1600 настроил 2 интерфейса с разными статическими IP-адресами, выданными провом. Планируем их использовать только для публикации двух серверов (каждый через внешней IP, сервер А с адресом публикации x.x.x.x и сервер B с адресом публикации x.x.x.y). Подскажите, как настроить dfl-1600, чтобы весь трафик предназначенный каждому серверу шедший снаружи шел именно на него, а уходил через внешний IP-адрес, с которого пришел? Ну или ткните, пожалуйста, носом в мануал. Заранее спасибо.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт апр 18, 2013 16:25 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Это очень популярная тема, по которой почему-то нет специального FAQ. Упомянуто только в FAQ по резервированию, и то в самом конце.
На самом деле достаточно просто.
Для каждого интерфейса, на который нужно принимать внешние соединения, например wan1:
1) Создаете дополнительную таблицу маршрутизации wan1_return, тип only.
2) В таблице создаете только один маршрут на all-nets через интерфейс wan1.
3) Создаете правило маршрутизации: для всего, что приходит с wan1 использовать forward table: main, return table: wan1_return.
Для остальных интерфейсов аналогично.
После этого исходящими соединениями можно рулить как угодно, отправлять через любого провайдера, резервировать, балансировать и т. п., используя таблицу main или при необходимости другие, входящие будут работать нормально, если не трогать указанные выше таблицы и правила.

Ну, а собственно по пробросу портов FAQ есть: http://www.dlink.ru/ru/faq/85/480.html, здесь не должно быть проблем.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 07:56 
Не в сети

Зарегистрирован: Чт фев 07, 2008 15:53
Сообщений: 33
Спасибо, буду пробовать. А если бы была следующая схема: провайдер один, кабель один, но есть диапазон внешних ip-адресов, выданных провом. По одному ip даем интернет, 2 других используем для публикации. Достаточно ли бы было для двунаправленного обмена с опубликованным серверами (на какой ip пакет пришел, туда и ушел) воспользоваться следующим факом "Как настроить перенаправление портов с помощью дополнительных IP-адресов на WAN-порту?" - http://www.dlink.ru/ru/faq/85/481.html или все равно нужно делать дополнительные таблицы маршрутизации?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 08:14 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Если несколько внешних интерфейсов, дополнительные таблицы нужны, иначе у Вас ответ сервера уйдет по тому же пути, что и исходящие в Интернет (что, естественоо, не будет работать).
Если интерфейс один, то дополнительные таблицы, вероятно, не нужны, но я так сам не пробовал, поэтому на 100% не уверен. Но дополнительных таблиц не бойтесь, никаких глюков не замечено. Страшнее использовать одного провайдера :).
Адрес, с которого должны идти исходящие соединения, можно указать в правиле NAT на вкладке NAT.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 09:55 
Не в сети

Зарегистрирован: Чт фев 07, 2008 15:53
Сообщений: 33
А если брать случай из моего предыдущего сообщения (один пров, 3 ip), то как можно сделать проброс таким образом, чтобы весь трафик приходящий на публичный адрес прова x.x.x.x отправить на сервер А. А приходящий на адрес x.x.x.z на сервер В? То есть сделать проброс исходя из адреса, на который шел пакет, а не типа протокола и прочего. Не до конца понял, где сделать это...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 10:04 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
а адреса то опубликованы?
если да - то у вас разные источники получатся и как следствие ( я предполагаю ) такблицы для этих правил будут

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 10:44 
Не в сети

Зарегистрирован: Чт фев 07, 2008 15:53
Сообщений: 33
Да, адреса опубликованы. Вообщем сделал так - в ARP добавил дополнительно 2 публичных ip_адреса провайдера и сделал правила проброса. Проверял пингом, отслеживая на TMG-сервере заруливает ли траф на нужный ip внутри сети. Работает. Теперь вопрос, как можно промониторить идет ли ответ через тот публичный ip-адрес, с которого был запрос, чтобы понять нужно ли делать доп. таблицы маршрутизации?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 10:45 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
сделать проброс и посмотреть . не получится сделать таблицы

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 11:55 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
viewtopic.php?t=65359&start=14

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 14:53 
Не в сети

Зарегистрирован: Чт фев 07, 2008 15:53
Сообщений: 33
вообщем публикация что-то не выходит. Внутрь идут пакеты куда надо. Но ответ, видимо, идет через первый публичный IP, а не через IP, на которых публиковал. Как можно разрулить с помощью PBR в варианте, когда физически кабель от прова один и 3 внешних IP (вторые 2 только для публикации)?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 21:33 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Как вариант, при помощи управляемого свитча можно настроить дополнительные адреса через VLAN

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 19, 2013 22:46 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Если без дополнительных таблиц не получается, попробуйте с ними. В единственном маршруте, который будет в каждой таблице, заполните обычно оставляемое пустым поле Source IP соответствующим образом.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб апр 20, 2013 07:35 
Не в сети

Зарегистрирован: Чт фев 07, 2008 15:53
Сообщений: 33
alex63 писал(а):
Если без дополнительных таблиц не получается, попробуйте с ними. В единственном маршруте, который будет в каждой таблице, заполните обычно оставляемое пустым поле Source IP соответствующим образом.

Вы имеете в виду поле в маршруте "Local IP address" ?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб апр 20, 2013 07:44 
Не в сети

Зарегистрирован: Чт фев 07, 2008 15:53
Сообщений: 33
Еще интересует правило NAT. Подскажите, что будет значить для маршрутизатора задание в правиле NAT "Use NATPool" дополнительных адресов, которые публикую?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб апр 20, 2013 14:11 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Для начала, покажите таки скриншотами как вы добавляли адреса.


Попробуйте вот как, на примере для дополнительного адреса wan1_ip2

Routes > Routing tables > alt_wan1_ip2 - ordering = only, поставьте галку remove interface IP
Добавьте маршрут wan1 all-nets wan1_ip 100, установите local IP address = wan1_ip2

Routing > Routing rules
wan1/all-nets core/wan1_ip2, forward main, return alt_wan1_ip2


Но вариант с отдельными VLAN интерфейсами - лучше, проверено

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 226


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB