Maksim (InCorp)
Доброго времени суток! Подскажите пожалуйста:
пробовал настроить PBR без маркировки и с маркировкой, но после настройки почему-то перестаёт пинговаться шлюз, хотя интернет работает. Раз шлюз не доступен, то и с другими подсетями нельзя работать :( Где чего я мог забыть указать?
В Route list добавляю подсети, которые должны ходить через другого провайдера, выбираю им таблицу, Action=lookup, но в маршрутах у них не показывается Routing mark. трафик ходит через друго провайдера, но общения между подсетями нет...
Maksim (InCorp)
Задача стоит разделить трафик на двух провайдеров, чтобы часть подсетей ходила через 2го провадера, а остальные через 1го
ADmitriy
А не проще из офиса б кинуть в офис а туннель и не ломать свете голову, решив задачу банальной маршрутизацией?
В данный момент офисы объединены с помощью IPSec/L2TP, но вот надёжность этого канала оставляет желать лучшего. То может 4 дня работать надёжно и без обрывов, а может и каждые 2 минуты разрывать туннель, по совершенно не объяснимым причинам.
Поэтому и было принято решение добавить надёжности и не гонять весь трафик через интернет, а пустить его локально.
Кстати, проблема оказалось не в моих настройках, а в том, что провайдер не до конца настроил один из своих коммутаторов. Сейчас L2 между двумя маршрутизаторами есть и они пингуются.
Теперь у меня есть следующий дилетантский вопрос. Есть ли какие-то бест практикс по построению филиальной сети? Сейчас в каждом филиале своя подсеть (192.168.40.0/24, 192.168.45.0/24) но из-за аппаратных ключей 1С хотелось бы объединить эти офисы в один широковещательный домен. Как это правильно делать? Буду рад услышать рекомендации, ну или какие ключевые слова гуглить.
Alexandr
Предположу, поправьте, если не прав ipsec и поверху eoip?
Alexandr
Но лично я бы не заморачивплся и прописал ip-адреса машин с ключами и она сама (1с) искала бы свободный
Alexandr
Бо один широковещательный домен череват ростом служебного трафика, что будет нагружать каналы связи
ADmitriy
Попробую указать разные сервера менеджера ключей 1С в разных сетях, посмотрю как будет работать. Спасибо, что предложил не городить огород с одним широковещательным доменом.
Alexandr
Попробую указать разные сервера менеджера ключей 1С в разных сетях, посмотрю как будет работать. Спасибо, что предложил не городить огород с одним широковещательным доменом.
Дим, у меня у самого так же у клиентов сделано и работает не первый год :-) всё гуд
Maksim (InCorp)
Неужто никто по PBR подсказать не может?(
Vassiliy
https://youtu.be/W2b4RzDCC1Y
Maksim (InCorp)
Смотрел несколько раз, не понял
Vassiliy
https://m.habrahabr.ru/post/244385/
Maksim (InCorp)
Объяснений минимум, делал как у него, но трафик не ходит между подсетями
Moneron 🇷🇺
Самая TRUE статья из всего рунета
Vassiliy
По вашей рекомендации тренер
ADmitriy
Знаю, что все сетевые гуры уже отдыхают, но возможно кто-то готов вступить в бой с сетевой магией.
При подключение удаленного офиса по L2TP/IpSec сетевые шары расположенные на сервере открываются без проблем. А вот если отключить VPN канал и попробовать обратиться к сетевой шаре по каналу который сделали сегодня (L2 VLAN), то сетевая шара сервера не доступна. При этом сервер пингуется, web сервер, ssh, всё работает замечательно? Что это может быть?
Kirilka
L2 VLAN - канал от провайдера?
Который впечатлён ВаннаКраем?
Moneron 🇷🇺
Во, тоже подумал ))
ADmitriy
провайдер один и другой офис объедил vlan'ом. А что за история с "Который впечатлён ВаннаКраем"?
Moneron 🇷🇺
провайдер один и другой офис объедил vlan'ом. А что за история с "Который впечатлён ВаннаКраем"?
Серьёзно? Последние дни только об этом и говорят. Вирус-шифровальщик. Многие провайдеры закрыли 445 порт, возможно, что у вас такая ситуация.
ADmitriy
Видимо совсем туплю и даже не мог предположить, что "ВаннаКраем" это wanna cry.
Moneron 🇷🇺
ВаннаКраем — это "чем", а не "что" )) Творительный падеж )))
Moneron 🇷🇺
Велик и могуч, блин 😄
FoxPDLL
Не. Так низя. Это мы так до запрещения ножей и вилок докатимся. Нельзя на пользователя натягивать файервол. Вы лишите его всей полноты ощущений.
Anton
что-то я недогоняю
Anton
на роутере создал правиол файервола, которое сообщает о попытках обращения к нему по 445 порту
Anton
за неделю ни одно пакета по этому правилу не прилетело
Anton
action = log если что
Anton
если ставишь action = drop, то роутер превращается в кирпич
Anton
почему?
Anton
протоколы tcp и udp
Алексей
чот не кирпич :)
Алексей
вчера счетчики сбросил посомтреть
Алексей
всё-таки списки в ROS такая удобная хрень, товарищи :)
Anton
похоже я понял в чём проблема
Moneron 🇷🇺
всё-таки списки в ROS такая удобная хрень, товарищи :)
Ну вы и слово выбрали… Хрень… Почти обидно 😄
Anton
кривое обновление судя по всему
Moneron 🇷🇺
Хотя бы "фича" :)
Anton
Anton
я правило создавал до обновления
Anton
после обновления всё "посерело"
Алексей
Anton
железка RB2011UiAS-2HnD
Алексей
у меня всё пучком :)
Moneron 🇷🇺
Anton
Алексей
Moneron 🇷🇺
Маленький вопрос: а зачем вы оба два на инпут запрещаете 445?
Anton
Moneron 🇷🇺
Боитесь, что роутерось на винде работает? :))
Anton
если пропишешь адрес назначения или отправки - то порты становятся доступные для редактирования
Moneron 🇷🇺
Moneron 🇷🇺
И объяснение
Moneron 🇷🇺
Проявите активность – пофиксят
Anton
я вот только не помню с какой версии обновился...
Алексей
И объяснение
а смотрите, просто я допустим рассуждал такЖ ну раз входит трафик на интерфейс значит весь будет рубиться...нуб :)
Moneron 🇷🇺
если пропишешь адрес назначения или отправки - то порты становятся доступные для редактирования
Как временная мера – пропишите 0.0.0.0/0
Anton
нули не катят
Алексей
а в принципе роутер глядит дестинейшен и пихает его в форвард...
Moneron 🇷🇺
а смотрите, просто я допустим рассуждал такЖ ну раз входит трафик на интерфейс значит весь будет рубиться...нуб :)
Не это объяснение имел ввиду, ну ладно. Вы защищаете свою сеть за роутером. Трафик при этом проходит СКВОЗЬ роутер. А если СКВОЗЬ – это всегда форвард
Алексей
Moneron 🇷🇺
Тогда экспорт – резет – импорт