Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Не могу настроить DFL-800 IPSec WAN failOver

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

crazycat2000

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги, есть проблема:  
2 D-link DFL-800 за ними сети 192.168.1.0/24 и 192.168.2.0/24
Каждая из железок подключена к двум провайдерам. На обоих железках настроен WAN FailOver, все бы ничего нет переключается автоматически при падении канала, и DNS побрасывается.  А вот туннель IPSec не переключается. С WAN 1 одной на оба wan порта второй железки цепляется без проблем(если вручную менять адрес). При падении WAN 1 первой железки IPSec не поднимается. FailOver на интерфейсах ipsec тоже не работает.
Кто сталкивался с проблемой помогите.
 
PS: Мануалы вот от сюда опробованы:  
http://webdev.dlink.ru/technical
http://www.dlink.ru/ru/faq
ftp.dlink.ru
forums.dlink.com

Всего записей: 1 | Зарегистр. 18-09-2009 | Отправлено: 16:57 01-12-2010
alex0123456789

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если еще актуально:
1) IPSec "переключаться" не может, нужно просто сделать 2 туннеля WAN1<->WAN1 и WAN2<->WAN2 и можно сделать так, чтобы в норме жили оба. Нужно прописать явные маршруты на WAN1 соседа через свой WAN1 и на WAN2 через свой WAN2, а не надеяться на маршрут по умолчанию, который у вас переключается по RFO. К сожалению, не получается WAN1<->WAN2, в смысле иметь 4 варианта туннеля для любой комбинации работающих портов, и именно из-за маршрутизации.
2) Нельзя ставить галку на последней вкладке настройки IPSec - это создает стат. маршрут, независимо от того, жив туннель или нет. В принципе должно работать keepalive + галка создания маршрута на вкладке routing, но я так не делал, а делал через общий механизм RFO для большего единообразия и гибкости.
 
Я настраивал IPSec так:
1) На первой вкладке local net - all_nets, remote net - all_nets. Почему? Я назначал явные адреса концам туннелей и их нужно включать в соотв. сети - лишний геморрой. В общем, это дополнительный фильтр, а зачем, если есть правила файрволла?
2) Внизу на вкладке routing назначаем входу в туннель явный IP.
3) Никакие автом. марщруты ни в routing, ни в advanced не создаем, keepalive не включаем.
4) Прописываем стат. маршруты для дальних входов в  туннели через соотв. туннель.
5) Теперь прописывам маршруты в соседнюю локалку через туннели с разной метрикой и с хост-мониторингом. Как хосты для мониторинга естественно даем дальние входы в туннели.
Ест-но все перечисленное делаем на обеих железяках.
 
Преимущества такой конфигурации: если желательно, чтобы в норме в Инет ходили через WAN1, а по VPN - через WAN2 или наоборот, или как угодно - достаточно поменять метрику у маршрутов c RFO. Благодаря наличию явных IP у туннелей легко проверить работоспособность резервного туннеля пингом или выяснить, через какой туннель мы сейчас работаем tracert.

Всего записей: 2 | Зарегистр. 28-01-2008 | Отправлено: 01:57 18-12-2010 | Исправлено: alex0123456789, 02:02 18-12-2010
jislom

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alex0123456789
 
явные IP туннелям ?

Всего записей: 1 | Зарегистр. 29-07-2010 | Отправлено: 14:30 26-05-2011
sharkmax



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подниму тему вновь. Только у меня треугольная схема, у нас с одной стороны DFL-800 c двумя WAN (белые стат IP), с другой DFL-210 с одним WAN (белый стат IP). Пробовал варианты с двумя тоннелями и с одним, не работает фэйловер, подскажите куда копать, все нужные данные предоставлю.

Всего записей: 267 | Зарегистр. 29-04-2009 | Отправлено: 13:21 28-07-2015
lockkie

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возник такой же вопрос как у sharkmax. Подскажите, знатоки!

Всего записей: 1 | Зарегистр. 04-09-2015 | Отправлено: 14:51 04-09-2015
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Не могу настроить DFL-800 IPSec WAN failOver


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru