Пытаясь вдумчиво вкуривать FAQ, посты и прочие TFM, по сабжевой теме, озадачился некоторыми вопросами.

Тут (в п.4)http://dlink.ru/ru/faq/85/575.html советуют объединить в одну группу три интерфейса - два VPN и один LAN. Как я понимаю, это только для того, чтобы далее, в п.5, разрешить "взаимное хождение" пакетов между ними:

Правильно?
Тогда чем такой подход (и в каких случаях) предпочтительнее того, который предложил тут http://forum.dlink.ru/viewtopic.php?f=3&t=124240 danilovav?


...to be continued...

Как писать правила -- дело Вашего вкуса. На мой взгляд, второй вариант наглядней и all-nets в первом варианте как-то страшновато смотрится. Но, если итоговая совокупность правил пропускает то что нужно и не пропускает то, что не нужно -- разницы никакой.
Но третье прравило у Данилова, как правило, не нужно. Я предпочитаю, чтобы пинг был всегда и везде, поэтому обычно ставлю наверх правило для icmp all_nets/any -> all_nets/any.

"Продолжаем разговор" (с) Карлсон.

Раз организовать переключение между каналами можно мониторингом каналов и заданием метрики маршрута в одной таблице роутинга, то для чего используются ДВЕ таблицы маршрутизации?
Для прокидывания разных типов (направлений) трафика по разным каналам? А еще для чего? Для прокидывания портов "внутрь" и через один и через другой каналы, так?
Для чего еще?

Их может быть и не две, у меня на одной DFL - семь .

Да.

Да, это очень распространенное применение PBR в DFL. Точнее выражаясь -- для возврата ответных пакетов по тому каналу, с которого приходят входящие. Частный случай -- работа мониторинга при двух или более параллельных каналах (возврат пингов).

Не спорю. Правильнее было написать - "более одной". Не сильно принципиально, IMHO.
Можно подробнее описать, для чего, конкретно, семь?
Какие еще применения есть?


И про это тоже можно подробнее?

Все то же + еще выбор провайдера в зависимости от типа трафика.


Что же тут непонятного? DFL №1 посылает пинг для мониторинга канала №2 (неважно, физика это или VPN), а DFL №2 возвращает ответ через канал №1, потому что у него метрика меньше и он значится исправным. Чтобы это предотвратить, используем PBR.
Возможно, будет работать и без этого (в конце концов второй канал мониторить не обязательно), но я люблю, чтобы все было красиво и понятно и ping и tracert с компьютера выдавали то, что ожидаешь.

Почему именно семь? Вот что интересует.
Можно увидеть их содержимое, чтобы было понятнее?


Но, разве это не то же самое разделение направлений трафика по каналам?

Коммерческая тайна .


Нет, это стандартное "отвечаем туда, откуда спрашивают". То же, что и проброс портов c WAN2.

А по разделению разных видов трафика вот типичный случай:
wan1 -- медленный, но дешевый Интернет;
wan2 -- быстрый, но дорогой или лимитный.
Нужно, чтобы компьютеры из группы VIP и/или определенный сервис шли на wan2, остальное -- на wan1.

Понятно. Не буду настаивать.


И все же, для этого случая можно пример? Для лучшего понимания.

http://forum.dlink.ru/viewtopic.php?f=3&t=158530
Только не лезьте дальше второго поста -- там народ уже все запутал и к данной теме это отношения не имеет. Для VPN всё точно так же -- просто замените WAN1, WAN2 на IPSEC1, IPSEC2 или как Вы их там обозвали.

Почитаю обязательно! (И еще обещаю подумать над прочитанным )
А пока вот какой еще вопрос - каков критерий "порождения" новой/очередной альтернативной таблицы роутинга?

Стандартная таблица маршрутизации в IP содержит поля:
destination network, destination mask, interface, gateway, metric.
Иногда этого недостаточно.
Например, среди перечисленных полей нет source network/interface или портов (service в терминологии DFL). Чтобы расширить возможности маршрутизации, можно было бы добавить эти поля (каждый маршрут имел бы больше атрибутов), но в DFL сделали
иначе, в 2 уровня: дополнительные атрибуты указываются в Routing Rule, которое ссылается на таблицу (точнее, на 2 таблицы), а внутри любой таблицы -- только стандартная маршрутизация. Кроме того, Routing Rules работают в терминах соединений и можно выбрать маршрут для ответных пакетов в зависимости от параметров входящих. Примеров я уже приводил достаточно.
Т. е. если Вы не можете добиться желаемого в пределах одной таблицы -- делаете дополнительную.