добрый день

Прошу помочь решить логическую проблемку.
Есть DFL-860E, есть два провайдера, каждый из которых выдает свой блок ip-адресов.
Адреса провайдера 1 прописаны на WAN1 с помощью публикации arp + установлен первый адрес из блока прямо на интерфейсе.
Адреса провайдера 2 прописаны на WAN2 с помощью публикации arp + установлен первый адрес из блока прямо на интерфейсе.

В локальной сети имеется 4 ПК (схема упрощена).

Нужно, чтобы каждый ПК выходил в интернет со своим внешним адресом с порта WAN1.
Это реализовано с помощью создания правила "NAT_TO_INET" для каждого конкретного ПК и указания на закладке NAT опции "Specify sender address" .
Суть вопроса:
Необходимо реализовать отказоустойчивую схему. Т.Е. обеспечить в случае выхода из строя WAN 1 автоматического переключения на WAN 2.
Это просто реализуется с установкой опции "monitor route" или в ручном режиме созданием "Routing rules".

Суть проблемы: После переключения на резервный канал, траффик продолжает проходить согласно правилу NAT_TO_INET с адресами из сети WAN1.


Дополнительно хочется иметь возможность изменить приоритеты каналов WAN1 и WAN2 для некоторых ПК, с целбю распределения нагрузки на провайдеров.
Схему в ПДФ прилагаю.

те Вы хотите что бы при отваливаении Wan1 , вы хотите что бы через wan2 компы выходили с адресами WAN1 ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Наоборот не хочу, а они выходят =) и инета естественно на них нет.

Кроме задачи отказоустойчивости стоит задача балансировки нагрузки между провайдерами.

Думал подготовить разные таблицы маршрутизации, но когда создаю routing rules пакеты действительно попадают из wan1 в wan2, но с адресами wan1.

Вы можете точно и подробно описать чего именно вы хотите добиться?

Или вас надо по пунктам спрашивать чтобы понять картину в целом?

Судя по схеме, вы хотите чтобы эти компы выходили через wan1 и wan2 каждый со своим привязанным адресом соответственно из сети одного или другого провайдера. Так?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

вот как вы себе представляете !?! если бы вы натили клиентов - то тут понятно все тсандартно - балансировка +PBR.
у вас же компам четко приколочин маршрут - он отваливается идет другой - но натятся лнги через другие адреса

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я естественно натю клиентов. Но у меня 4 подразделения с разными prt и a record. Каждое из подразделений должно выходить со своих IP. Для каждого подразделения создана своя группа.
например:

рога и копыта с адреса с a-record рога и копыта.ру
толени и море с адреса с a-record тюлени и море.ру

рога и копыта.ру -> ссылается на два адреса из WAN1 и WAN2.
PTR record соответственно тоже у обоих провайдеров одинаковые для пар ip адресов.

есть возможность поставить один DFL за другим, но я пока не могу понять как реализовать требуемую схему.

Основная проблема видится именно в распределении нагрузки межд провайдерами. Хотябы в ручном режиме.

Если без балансировки то наверное прокатит так.

Правила к провайдеру 1:
NAT LAN group_A -> wan1 allnets NATIP wan1_ip_A
NAT LAN group_B -> wan1 allnets NATIP wan1_ip_B
NAT LAN group_C -> wan1 allnets NATIP wan1_ip_C

Правила к провайдеру 2:
NAT LAN group_A -> wan2 allnets NATIP wan2_ip_A
NAT LAN group_B -> wan2 allnets NATIP wan2_ip_B
NAT LAN group_C -> wan2 allnets NATIP wan2_ip_C

таблица маршрутизации:

1. WAN1 -> all-nets metric 10 + monitor route
1. WAN2 -> all-nets metric 20 + monitor route

Тогда в случае если маршрут 1 отвалится то наверное отработает маршрут №2 аже с правильными адресами.
Но вот как часть ПК пустить через маршрут 1 а часть через маршут 2 ????
можно сделать две таблицы маршрутизации, так DFL анализирует правила но routing rules...

Только хотел ответить, но Вы уже сами догадались . А насчет части ПК через маршрут1, а часть... -- тоже просто -- создаете альтернативные таблицы с соответствующими правилами и в них по 2 Ваших маршрута с мониторингом, но в одной на wan1 метрика 10, а на wan2 - 20, а в другой -- всё наоборот

Да но так не прокатывает по ходу...

Логика DFL как я ее представляю...

1. Пакет кудато идет смотрим таблицу маршутизации - понимает куда наверное должен попасть пакет..
2. ишем правило под это дело.
3. Строим маршрут
4. Анализируем правило маргрутизации
5. строим маршрут на основе правила маршрутизации
6. посылаем пакет

Проблема в том, что адрес от которого уйдет пакет прописан на этапе №2 и прописан для уже конкретного wan порта. А вот на этапе 5 пакет неожиданно переправляется в порт wan 2.... с адресом из сети wan 1....

Все очень просто:

IP правила прописываете для выхода через порт WanX только с адресов WanX. На каждый порт - СВОЙ набор адресов, но никак не чужой!

Т.е. такого не должно быть в принципе:

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да так и сделано...
но прочитайте выше... после пункта 2 не происходит повторного анализа правил. И routing rules просто перекидывает пакет на лругой интерфейс. Я вель пишу routing rule так:

если пакет валится с group_a на wan1. то взять таблицу wan2 и пакет переваливается на wan2 и уходит наружу.
Там нет нигде опции поменять правило маршрутизации.

Возможно я ошибаюсь, прошу поправить если моя логика работы DFL неправильная.

это описка конечно... прошу прощения.
NAT LAN group_A -> wan2 allnets NATIP wan2_ip_A
NAT LAN group_B -> wan2 allnets NATIP wan2_ip_B
NAT LAN group_C -> wan2 allnets NATIP wan2_ip_C

Вы себя запутали и пытаетесь запутать других. NAT -- это IP-правила. Они не определяют, куда пойдет пакет. Они просто разрешают пойти ему и через wan1, и через wan2. Какое будет реально работать, определяется маршрутизацией. Вам не нужно указывать интерфейс назначения в правилах маршрутизации.
Правила маршрутизации для Вашего случая должны выглядеть так:
lan/group_A -> any/all-net forward=wan1_priority return=main
lan/group_B -> any/all-net forward=wan2_priority return=main

Таблица wan1_priority:
wan1/all-net metric=10 monitor=yes
wan2/all-net metric=20

Таблица wan2_priority:
wan1/all-net metric=20
wan2/all-net metric=10 monitor=yes

Ну а IP-правил, как уже обсуждалось - 4 шт.(для двух групп)
В этом случае group_A будет ходить через wan1, но при аварии wan1 перейдет на wan2, а group_B -- наоборот.
Для большего числа групп расширяется очевидным образом.

Где мне указать с каким внешним адресом группа выходит в интернет? на данный момент это указано именно в правилах, из-за этого и осуществляется привязка. Понятно, что если бы не это условие, то правило былобы просто создано на группу интерфейсов WAN1+WAN2.

Заранее прошу прощения, если кого то запутал. Глаз уже замылился и правильного решения не видит.
P. S.
Тут перечитав всю документацию наверное есть решение - я указывал какой адрес отправителя подставлять при NAT в правилах. А судя по всему можно это указать строке маршрута в таблицах маршрутизации, и если таблиц маршрутизации будет столько же, сколько и групп, то с помощью routing rules должно получиться разрулить вопрос. Хотя я это пытался сделать и у меня не получилось. Попытаюсь сегодня снова.

А что мешает указать в правилах NAT, сделав по два правила на каждую группу? Еще раз -- их не нужно никак селектировать, лишнее правило не направит трафик "не туда", оно просто будет проигнорировано. Вами же предложенные правила:
NAT LAN group_A -> wan1 allnets NAT IP wan1_ip_A
NAT LAN group_B -> wan1 allnets NAT IP wan1_ip_B
NAT LAN group_A -> wan2 allnets NAT IP wan2_ip_A
NAT LAN group_B -> wan2 allnets NAT IP wan2_ip_B,
а маршрутизацию я расписал в предыдущем посте.