Добрый день,

Имею двух провайдеров со статическими адресами которые настроены через vlan'ы на DFL
Сейчас все работает через WAN1. Хочется сделать так чтобы доступ до некоторых серверов был через IP адреса второго провайдера (WAN2).
Пока получилось сделать только исходящий траффик через WAN2. Входящий не получается настроить.
Сделано так :

Добавлена альтернативная таблица маршрутизации
Interface : WAN2
Network : all-nets
Gateway : WAN2-gw
Metric : 90

Добавил PBR правило
Forward routing table : ALT
Return routing table : main
Service : all_tcpudpicmp
source interface : lan1
source network : lan1_ip
destination interface : WAN1
destination network : all_nets

Сделал Source NAT правило
source interface : lan1
source network : lan1_ip
destination network : WAN2
destination network : all-nets

В Address Translation добавил WAN2_ip через который должен выходит lan1_ip
Тем самым получил выход в интернет через WAN2 для нужного мне сервера.

Как теперь сделать входящий траффик через WAN2 на тот же сервер? Пока только сделаны Destination NAT правила и разрешаюшие правила для подключения на WAN2_ip, но траффик не ходит. Вернее ходит но дропается Default_Access_Rule

- ответ по WAN2:
http://forum.dlink.ru/viewtopic.php?t=65359&start=14

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Много раз перечитывал эту ветку, но так и не удалось запустить.
Вот что я настроил и какой у меня результат

PBR


Destination NAT и разрешающее правило


Что говорит Log


Честно , не понимаю почему так...

Есть подозрение, что вы сами же дропаете пакет правилом Drop_Rule, если оно не дефолтное

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Кастомный Drop_Rule Был создан для того чтобы можно отключать логи того что дропается. Временно отключил правило и получил следующее :

ssh зарезервирован управлением DFL
измените порт в настройках SSH или снимите галку Before Rules: или смените свой порт
можете вообще для начала отладиться на пинге

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сделал правило разрешающее пинг :


Лог показывет тоже самое

хз что тут. лучше отладиться на пинге со всеми отключенными другими PBR

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Так... тогда если идти с самого начала. При создании vlan для WAN2 надо ли снимать галки с параметров ?

Automatically add a route for this virtual LAN interface using the given network.
Automatically add a default route for this virtual LAN interface using the given default gateway.

Так как при создании альтернативной таблицы добавляется default route.
Хотя я попробовал и так и так .. результат такой же. Дропается дефолт правилом.

Для случая альтернативной таблицы это не имеет значения.

Для общего случая, при выделенном wan2net - галку Automatically add a route for this virtual LAN interface using the given network надо включать.

Как вариант, если вы тестируете из другого адреса внутри wan2net, добавьте в таблицу alt_wan2 еще маршрут на wan2net, то есть должно получиться
wan2 wan2net <no gw> 100
wan2 all-nets wan2_gw 100

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

можете показать status-routes. так будет понятнее

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Так было изначально. Я тестирую из внешней сети. Траффик дропается правилом Default_Rule

main таблица


alternate таблица

я вижу всего 2 основных интерфейса eth1 и dc-transit. и никаких telia-public.

Поясните, что у вас с ван портами. какие они и через что? т.е. как они реализованы.
и почему и них метрики одинаковые? надо основную сделать меньше

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Оба WAN подключения реализованны через vlan'ы на eth1.
Я убрал галочки с eth1 которые добавляли default route. Сейчас в роутинг таблице main только DC-Transit.
Так как я снял те же галочки с Telia-Public в Alternate таблице, там есть только один роут

Interface : Telia-Public
Network : All-nets
Gateway : Telia-GW
Metric : 90

Получается что метрики разные , у Dc-Transit - 100 , у Telia-Public - 90.

Нужен ли маршрут Telia-Public в main таблице?

В таблице main должны быть все действительные основные маршруты. У вас получается два.
Главный должен быть с приоритетной (меньшей) метрикой.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.