Главная

Вход



 
D-Link DFL-210 и два провайдера
Рейтинг пользователей: / 5
ХудшийЛучший 
blogs - boba
Автор: BoBa   
01.12.2008 12:28

Необходимо подключить DFL к двум провайдерам основной/резервный маршрут, обеспечить удаленное администрирование с резервного интерфейса, и отправить весь траффик ssh через резервный маршрут.

Подключение: 

Подключаемся:

по умолчанию адрес: 192.168.1.1, протокол: https, пользователь: admin, пароль: admin.
 

интерфейсы 

Создаем подключения PPPoE:
 
Interfaces->PPPoE->Add->PPPoE Tunnel

Создаем PPPoE подключение для WAN порта:
 
заполняем имя подключения, интерфейс, логин, пароль

переходим на закладку Advanced
 
снимаем галку (нам не нужны автоматические маршруты по умолчанию)

создаем второе подключение PPPoE для DMZ порта:
 

Создаем группу интерфейсов:
 
Interfaces->Interface Groups->Add->InterfaceGroup

Создаем группу с нашими PPPoE подключениями
 
Добавляем pppoe_dmz и pppoe_wan. Пояснения к галке "Security/Transport Equivalent" смотрите в комментариях.

идем в Ethernet интерфейсы:
 
Interfaces->Ethernet

редактируем wan и dmz интерфейсы
 
убираем гейт по умолчанию, отключаем DHCP

идем на закладку Advanced:
 
снимаем галки (нам не нужны автоматические маршруты по умолчанию)

идем в адреса интерфейсов

Objects->Address Book->InterfaceAddresses

редактируем адреса dmz (делаем такие же как у wan)
на самом деле редактирование интерфейсов и их адресов нужно только чтобы таблица маршрутизации была более прозрачна при использовании PPPoE 

получаем:

добавляем два адреса:
 
Object->Address Book->Add->IP address

Адрес станции управления снаружи

Адрес сервера внутри
 
Получаем:

 

маршруты 

добавляем маршруты:
 
Routing->Routing Tables->main->Add->Route

маршрут для интерфейса dmz (основной)

интерфейс: pppoe_dmz
сеть: all-nets
метрика: 20

закладка Monitor
 
включаем мониторинг (включать ARP мониторинг на PPPoE интерфейсе смысла нет)

маршрут для интерфейса wan (резервный)
 
интерфейс: pppoe_dmz
сеть: all-nets
метрика: 50
мониторинг не нужен

маршрут управления (через wan)
 
интерфейс: pppoe_wan
сеть: remote_admin
метрика: 5
 
закладка Monitor

включаем мониторинг

добавляем еще одну таблицу роутинга (для разделения трафика по сервисам)
 
Routing->Routing Tables->Add->RoutingTable

таблица для маршрута в wan

порядок: default (сначало будет искаться маршрут в главной таблице, если найден только маршрут по умолчанию в главной таблице, будет искаться в этой таблице)

добавим маршрут в эту таблицу:
 
Routing->Routing Tables->wan->Add->Route

маршрут:

интерфейс: pppoe_wan
сеть: all-nets
метрика: 0

Монитор:
 
включаем мониторинг (чтобы при недоступности маршрута траффик шел по основному)

добавим политику
 
Routing->Routing Rules->Add->RoutingRule

отправим весь ssh траффик через wan интерфейс (но при недоступности wan будет идти через dmz)
 

правила 

Меняем внешний интерфейс правил по умолчанию с wan на wan_dmz:

Rules->IP Rules->lan_to_wan
 
 
 
для остальных правил повторяем, в итоге получаем:


добавим правило разрешающее ping интерфейса wan

Rules->IP Rules->Add->IP Rule

правило:
 
 
правило удаленного администрирования со станции управления:
 
 
и два правила пробрасывающих порт rdp

Действие: SAT

Закладка SAT
 
 
второе правило:


Получаем:

удаленное администрирование 

 

примечания

галка в группе интерфейсов "Security/Transport Equivalent" нужна для Policy-based Routing.
если галку не поднимать то при падении одного из маршрутов сессии сразу переключатся на резервный маршрут. понятно что для tcp это не актуально, но для udp и icmp вполне роботоспособно и порой необходимо (например при большом количестве клиентов и частых запросах dns) но при этом переключение маршрута для PBR можно сказать что не работает. если галку поднять то сессии живут по старым маршрутам до истечения таймаута (т.е. теоретически могут до бесконечности не переключаться на новый маршрут) но при этом работает переключение маршрута для PRB. создание двух групп интерфейсов для правил и для PRB отдельно с разными настройками галки вызывает неадекватную работу и того и другого...

LAST_UPDATED2