1. У меня в локалке сервер имеет виртуальный интерфейс из двух реальных (team), в связи с этим, dfl иногда отказывается с ним работать в логе отсвечиваю события типа :

маки обоих интерфейсов отличаются на единицу, а виртуальный "взял" себе мак второго физического
сейчас я в advanced настроqках ARP, снял все дропы , и заменил на accept. работает
подскажите как правильно обыграть эту ситуацию ?

2. можно ли посмотреть реальную загрузку по скорости WAN (моментальную) , когда захожу в статус-интерфейсы, выбираю WAN там показана текущая скорость но она значительно ниже чем, даёт провайдер. причём провайдер утверждает что канал используется под завязку (даёт скриншоты с графиком загрузки).
есть ли способ смотреть загрузку по определённым критериям например от хостов в LAN ?

X3. надо пробовать
Лучше было найти ту единственную галку, которая решала проблему. Возможно, она первая в списке.

Можно настроить Pipes в управлении трафиком пустить через них трафик. И смотреть через консоль загрузку каналов (pipe)

Это первое, что пришло в голову. И пока ничего другого не приходит.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Настроить какой нибудь мониторинг по sn mp например кактусы прекрасно работают

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

в настройке ARP/Neighbor Discovery добавил запись типа static, с указанием МАКа вирт карты (или МАКа первой физической) и IP адрес сервера. заработало. Но почему то перестало работать с pptp туннелем, та же ошибка. т.е. с сервака в туннель (на удаленный хост) не пускает и наоборот. причём с других компов (с одной сетевухой) в локалке пускает.
продолжаю экспериментировать.

Vladimir22, а что такое кактусы ?

вот такие события




привязал я 77-2c-cb-67-b4-c0 на 192.168.0.1

что бы пустило в туннель нужно удалить привязку, и открыть - снять все дропы (возможно и какой то один, но какой именно я пока не понял, работает только со всеми снятыми)
после этого такие события:

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ещё вопрос.
Имеем правило (стандартное): ping_fw ALLOW source (LAN/LAN_NET) dest (CORE/LAN_IP) сервис ping_inbound. разрешает входящий пинг на устройство из локальной сети. Я хочу сделать пинг на роутер из внешки, создаю похожее правило: ping_fw ALLOW source (WAN/WAN_IP) dest (CORE/LAN_IP) - не работает - drop, если же я заменю в dest - LAN_IP на ALL_NET - проходит. почему так ? я не понимаю логики.


P.S. Сам спросил сам ответил.
По всей видимости ошибка в том, что сетью назначения должен стоять WAN адрес роутера а не LAN, логика такая: запрос от источника на порт WAN от адреса такого то, до ЯДРА (core) с адресом WAN - разрешить. Поправьте если я не прав.

Так и есть. Правило пинга снаружи:

allow wan all_nets(или группа_разрешенных_адресов) core wan_ip ping-inbound.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вопросы по теории и практике.
1. Теория
(с)
т.е. если я сначала делаю правило allow, а вслед за ним drop , то будет применяться allow ? при условии что параметры одинаковые ?
и ещё не понятно как DFL будет действовать в следующей ситуации: есть группа адресов no_restrict принадлежащая сети lannet, т.е. является частным "случаем" lannet
имеем последовательность правил
1. запрещаем lannet
2. разрешаем no_restrict
в итоге на no_restrict будет действовать запрет (drop) ?
2. Практика. исходя из озвученных вопросов выше не совсем понимаю как правильней решить простую задачу с разграничением доступа.
Есть сеть примерно 70 компов (lannet). 10 из них привилегированные, т.е. должны иметь неограниченный доступ. (no_restrict).
какой тут д.б. подход ?
1. разрешаю всё langroup (all_tcpudp)
2. разрешаю остальным (lannet) ходить через wcf (http-outbound-wcf)
3. Практика
Ещё один практический вопрос как, запретить пользоваться https всем кроме группы no_restrict (из примера выше).

Что за коммутатор у Вас используется? - марка, модель? Надеюсь, он умеет агрегировать порты?

У меня на объекте прекрасно работает несколько серваков с агрегированными портами, и никаких проблем никогда не возникало - ни в туннели, ни через интерфейсы.
Скорее всего Вам следует обратить внимание на настройки коммутатора - там эти порты от сервера должны быть агрегированы в транк с параметром - "LACP Active"
Режим же работы этого транка (Team Type) выбирается уже в настройках этого Team'а на сервере.



Вот выдернул Вам скриншот из Алгориуса:

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Правила обрабатываются сверху вниз, с заходом во все подкаталоги. Как только фильтр (src_if/src_addr + dst_if/dst_addr + service + schedule) удовлетворен, правило применяется. Не забывайте что из группы можно и вычитать, например, можно сделать группу Internet = all-nets - lannet - branch_net. И ALG - это отдельная песня, Т. е. если есть, к примеру, правило с ALG, разрешающее ходить в одноклассники и ниже другое правило, разрежающее той же группе ходить в контакт, то второе не будет работать, хотя вроде бы оба разрешающие -- из ALG нет возврата, даже если внутренний фильтр ALG не удовлетворен.
Соответственно, в пределах этих ограничений решайте свои задачи.

MTRX, у меня есть коммутатор (HP-v1910-24g) с такой функцией, но сервер коммутируется через другой свич - простенький 5 портовый 3com.

alex63, про "вычитание" из группы не понял.
насчёт порядка применения правил, тогда получается что если:

1. запрещаем lannet
2. разрешаем no_restrict
no_restrict будет запрещено т.к. правило применилось выше. так ?

а если:

1. разрешаем no_restrict
2. запрещаем lannet

то правила отработают так как записано?

Зашибись!
Ну ка бегом марш перетыкать его в 1910 !

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

да я бы давно это сделал, но это не возможно пока. сейчас будет переезд офиса на новый этаж (поближе к серверу) вот тогда, думаю, получится.

Да, конечно, а сейчас расколбас по сети устраивать - это то что надо.
Отключите хотябы тогда один кабель от сервера, пусть Team перестроится в режим одного интерфейса, чтобы пургу по сети не гнать.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...