» Маршрутизация в локалку с нескольких провайдеров

Давно терзает сей вопрос.

### Дано.
Инфраструктура на Windows Server, на внешнем шлюзе Forefront TMG,
Несколько подключенией к провайдерам:
Провайдер 1. default route, дешевый быстрый, ненадежный, динамический ип
Провайдер 2. без маршрутов на него, дорогой, быстрый, надежный, статический ип
На всех внутренних машинах в качестве шлюза по умолчанию комп с TMG.

### Задача.
1. Весь исходящий трафик из локалки и самого серера TMG должен идти через провайдера 1.
2. На адресе провайдера 2 должны быть опубликованы через TMG внутренние службы: веб-сайты, почта, и т. п.

### Проблема.
Предполагаю такой путь обмена пакетами

Запрос:
ip_клиента_в_инете >> ip_tmg_пров_2 >(по правилам публикации)> ip_службы_внутри_локалки

Ответ:
от ip_службы_внутри_локалки посылается на ip_клиента_в_инете >(по таблице отправляет на default route)> ip_tmg_внутренний >(по таблице отправляет на default route)>ip_tmg_шлюз_пров1>>пакет потерян.

###

То есть на вход пакет проходит как надо, а на выход теряется, так как пакет пришел на интерфейс от провайдера 2, а ответ на него отправляется в соответствии с таблицей маршрутизации через провайдера 1.

Что тут можно сделать, чтобы пакет уходил обратно через того провайдера, от кторого пришел, а не в соответствии с таблицей маршрутизации?

В свое время я не смог красиво решить эту проблему на Kerio и на стандартной маршрутизации Lunix, пришлось создавать отдельный шлюз для провайдера 2, а на внутренних опубликованных серваках указывать этот новый шлюз как default. При этом задача, чтобы исходящий трафик с опубликованных серваков шел через провайдера 1 не была решена.

ArgonOL
Понимаешь в чем дело. В Windows невозможно использовать два основных шлюзов. Т.е. либо пакеты уходят через один интерфейс, либо через другой. И не важно TMG стоит или Kerio. В Kerio есть функция переключения основного шлюза в случае пропадания основного канала. Но одновременно два такое можно только на юниксах настроить.

А где можно? Я публиковал Linux веб-сервера через Kerio и маршрутизаторы (Mikrotik) -- такое же поведение.

Поставь второй сервер и не мучайся. Если нет возможности физический, поднимай виртуальный.

Понимаю, но этим не решается проблема чтобы исходящий трафик с опубликованных локальных серваков (обновления и ты пы) шел через дешевого провайдера.

Добавлено:
Практически, это будет то же самое, что если получится прописать на TMG правило исходящий трафик от списка адресов опубликованных серверов направлять на второго провайдера.

ArgonOL
Цитата:

Что тут можно сделать, чтобы пакет уходил обратно через того провайдера, от кторого пришел, а не в соответствии с таблицей маршрутизации?

Эта вещь называется Policy Based Routing (PBR), Windows этого не умеет, не для того она сделана. Ставьте нормальный маршрутизатор, поддерживающий PBR, и будет вам щастье.
И учись пользоваться поиском по разделу и форуму, вопросы маршрутизации многократно обсуждались, и твой вопрос отдельной темы явно не стоит.

vlary, а можете посоветовать нормальный маршрутизатор, чтобы с Policy Based Routing, желательно чтоб его еще и с TMG можно было подружить (до него, или после?)

Насчет поиска -- я пробовал искать, на третей странице списка тем, вопросы которых сводились к "а что значит маска 255.255.255.248" руки опустились.

Добавлено:
В любом случае, решительно благодарю вас vlary за наводку, в моих Mikrotik-ах есть упоминания о PBR, и я теперь знаю в какую сторону курить.

ArgonOL
Цитата:

а можете посоветовать нормальный маршрутизатор, чтобы с Policy Based Routing

Ну, нормальный маршрутизатор на мой взгляд - Циска, но не всем подходит.
D-LINK DFL-2500, и некоторые другие из серии DFL вроде как умеют PBR, но если микротики тоже умеют, лучше их и использовать.

ArgonOL


Цитата:

Понимаю, но этим не решается проблема чтобы исходящий трафик с опубликованных локальных серваков (обновления и ты пы) шел через дешевого провайдера.

Легко. На опубликованном сервере прописываешь проксю на сервер с дешевым каналом.

Цитата:

Легко. На опубликованном сервере прописываешь проксю на сервер с дешевым каналом.

и де ж ты такой умный взялся ?:)

Чего-то не вижу проблемы - включать сервер одним интерфейсом в локалку, вторым - в дорогого провайдера. На сервере на локальном интерфейсе прописать только айпишник и маску, на внешнем - все параметры. Если на TMG можно поднять прокси, то можно на сервере прописать еще и проксю в настройках и ходить с сервера в инет через дешевого провайдера.

tankistua
Судя по всему проблему ты как раз и не видишь...

может я чего пропустил ? как почту завернуть через прокси

avital

Цитата:

Легко. На опубликованном сервере прописываешь проксю на сервер с дешевым каналом.

Жаль что не универсально и не для всех протоколов годиться.

Вопчем я сегодня к курению Policy Based Routing приступаю, это видится мне достойным решением, в отличае от перечисленных здесь полумер.

tankistua

Цитата:

Чего-то не вижу проблемы - включать сервер одним интерфейсом в локалку, вторым - в дорогого провайдера.

Внутренних серверов, требующих публикации -- много, провайдеров -- мало.

ArgonOL
DFL 800 посмотри Длинковский, или 210-й подщевле.


Добавлено:
или Фря.
http://www.dlink.ru/ru/arts/84.html
поиграться можно даже.
Я посмотриваю, если честно, на чертенка, попробую его поднять на каникулах новогодних и повертеть.

Мужики прикиньте, а я настроил стандартную функциональность "Избыточность ISP" в TMG, и пока все работает так, как я хотел.

Не верю своим глазам.

ArgonOL
Цитата:

а я настроил стандартную функциональность "Избыточность ISP"

Ну так, в настройках ISP Redundancy Method читаем:

Цитата:

Explicit Route Destinations – this option allows you to configure routes that will always use this ISP and not use the second ISP. This provides a route based, policy-based routing configuration.

То бишь PBR и есть, учится мелкософт, по крайней мере в специализированных продуктах.

ArgonOL

Цитата:

Вопчем я сегодня к курению Policy Based Routing приступаю, это видится мне достойным решением, в отличае от перечисленных здесь полумер.

Желаю удачи. Только под Windows оно (решение) не работает. По поводу DLINK железки, была у меня такая. При большом количестве сессий жестко виснет.

Я тут подумал с двумя серверами можно сделать по-другому.
1-й сервер. Внутренний интерфейс, внешний интерфейс в дешевый канал. Все сервера (почта, веб и тп) настроены только на внутренний интерфейс.
2-й сервер. Внутренний интерфейс, внешний интерфейс в дорогой канал. Опубликованы сервера из внутренней сетки с 1-го сервера на внешний интерфейс этого сервера. Кстати, этот сервер можно заменить каким-нить недорогим железным роутером, даже DLINK вполне справится с этой задачей, так как не будет использоваться NAT (кроме публикации)

Не долго длилась радость моя, в моей конфигурации TMG не работает как надо.
Есть провайдер 1, свой адрес, свой шлюз
Есть провайдер 2, на одном интерфейсе 2 последовательных ИП адреса (нужно для DirectAccess), свой шлюз.

Дык вот, второй IP адрес на провайдере 2 не работает из-за особенностей TMG, я их и менять местами пробовал, последний добавленный всегда перестает работать, причем именно по маршрутизации (если обращатся к нему из сети провайдера до маршрутизатора, он отвечает)

Вызвано это, видимо, следующими ограничениями

http://technet.microsoft.com/en-us/library/ee796231.aspx#ISPRedundancyIssues

SP redundancy does not support more than two external interfaces

Issue: Forefront TMG does not support more than two external connections to Internet Service Providers (ISPs).

Cause: Forefront TMG can support only two external connections with the ISP Redundancy feature.

Solution: No workaround. There are a number of third-party products that may provide a solution. For more information, see High Availability and Load Balancing on the Windows Server System Web site (http://go.microsoft.com/fwlink/?linkid=179985).

Товарищи, друзья! Не ругайте и не пинайте, что залез не совсем, может быть, и туда, но... Решить надо одну проблему поскорее.

Windows 2003 Standard. Роли: контроллер домена, DNS-сервер, DHCP-сервер, файловый сервер, сервер печати, сервер приложений, сервер удалённого доступа/VPN.

Имеется 2 сетевые карты, необходимо настроить маршрутизацию из одной подсети в другую.
Одна подсеть – провайдер. Другая – локальная сеть предприятия.
В настройках DNS стоит перенаправление на DNS-сервера провайдера.

Настройки сетевого подключения сети предприятия:
IP – 10.0.8.253
Маска – 255.0.0.0
Шлюз – нет
DNS – 10.0.8.253

Настройки сетевого подключения сети провайдера:
IP – 192.168.120.253
Маска – 255.255.255.0
Шлюз – 192.168.120.1
DNS – 192.168.120.253

Настройки сетевого подключения клиентских машин:
IP – 10.0.8.ХХХ
Маска – 255.0.0.0
Шлюз – 10.0.8.253
DNS – 10.0.8.253

Маршрутизация настроена. Клиенты могут пинговать сервер и по адресу 10.0.8.253, и по 192.168.120.253. Также пингуется клиентами и шлюз интернета 192.168.120.1.

Шлюз интернета 192.168.120.1 связывает сети 192.168.120.0/255.255.255.0 и 10.0.0.0/255.0.0.0. Интернет доступен только через proxy-сервер 10.0.0.256. Также есть почтовый сервер 10.0.0.1 (POP3 и SMTP).

При одновременно включенных 2-х сетевых интерфейсах на сервере (ЛВС и Провайдер) нет соединения с сетью 10.0.0.0/255.0.0.0. Т.е. не проходят пинги до proxy-сервера, который находится в сети провайдера по адресу 10.0.0.256. Также нет связи и с другими участниками подсети 10.0.0.0.

Стоит отключить сетевое подключение сети предприятия на сервере, как пинги начинают доходить и до proxy-сервера 10.0.0.256, и до почтового сервера 10.0.0.1. Соответственно, появляется и Интернет.
Если опять включить подключение по локальной сети, то всё вновь исчезает.


Добавлено:
После добавления статичного маршрута в оснастке "Маршрутизация":
Интерфейс: Провайдер
Назначение: 10.0.0.0
Маска: 255.255.255.0
Шлюз: 192.168.120.1
Метрика: 1

Пошли пинги до proxy- и mail-серверов. Появился Интернет.

Таблица маршрутизации:

Код:
IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x40003 ...00 16 76 76 3b 47 ...... Intel(R) PRO/1000 PL Network Connection
0x90004 ...00 04 79 66 ba a6 ...... 3Com EtherLink XL 10/100 PCI For Complete PC
Management NIC (3C905C-TX)
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.120.1 192.168.120.253 1
10.0.0.0 255.0.0.0 10.0.8.253 10.0.8.253 10
10.0.0.0 255.255.255.0 192.168.120.1 192.168.120.253 1
10.0.8.253 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.0.8.253 10.0.8.253 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.120.0 255.255.255.0 192.168.120.253 192.168.120.253 1
192.168.120.253 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.120.255 255.255.255.255 192.168.120.253 192.168.120.253 1
224.0.0.0 240.0.0.0 10.0.8.253 10.0.8.253 10
224.0.0.0 240.0.0.0 192.168.120.253 192.168.120.253 1
255.255.255.255 255.255.255.255 10.0.8.253 10.0.8.253 1
255.255.255.255 255.255.255.255 192.168.120.253 192.168.120.253 1
Основной шлюз: 192.168.120.1
===========================================================================
Постоянные маршруты:
Отсутствует

Isa\другой файерволл не стоит?

Sauron_zombie так много написал что я не смог до конца дочитать но тут проблема на лицо)
с начало я подумал что у тебя 192.168.х.х это провайдер но потом стало ясно что 10.0.0.1 это сеть провайдера.
короче твой DNS не верно прописан в интерфейса который смотрит в провайдера! т.к. там у тебя написан твой IP )) а должен быть прописан DNS сервер твоего провайдера или напиши там 8.8.8.8

AQAQ

Цитата:

Isa\другой файерволл не стоит?

Нет. Даже встроенный, как служба отключен.
Пока сижу, как говориться, на двух стульях. Т.е. 2 шнура идут в свич. Один - старая линия по ADSL. Другой - оптоволоконная линия. Прописал с сетевухах 2 IP, 2 шлюза, маршруты на определённые IP, по которым критична скорость. Теперь они как бы в 2-х сетях.
Но это так не нравится! Топорно. И не всегда 2 линии будут.

Добавлено:
DJs3000

Цитата:

твой DNS не верно прописан в интерфейса который смотрит в провайдера! т.к. там у тебя написан твой IP )) а должен быть прописан DNS сервер твоего провайдера или напиши там 8.8.8.8

Так я писал, что у меня настроены серверы пересылки в службе DNS. Как раз на сервера провайдера.
Или на контроллере нужно это делать и в настройках сетевого интерфейса?

Ещё раз скажу, что наша сеть: 10.0.8.0/255.0.0.0, сеть провайдера, где шлюз: 192.168.120.0/255.255.255.0. Также сеть провайдера, где mail-сервер, proxy, другие нужные сервера: 10.0.0.0/255.0.0.0

Во-первых, для локалки 10.0.8.0 совсем не нужна сеть 255.0.0.0, припиши маску 255.255.255.0. Тут сразу никакого пересечения с сетью провайдера уже не будет.

Во-вторых, то, что провадер у себя внутри использует сеть 10.0.0.0 -- не правильно, но решаемо использованием NAT-а на ADSL модеме или маршрутизаторе.

В-третьих, на компе-сервере контроллере домена ДНС должен быть прописан только на локальном сетевом интерфейсе, причем прописан адрес самого сервера, а интернет-адреса должны разрешаться за счет пересылки с вашего DNS сервера (см настройки) на провайдерский.

ArgonOL

Цитата:

для локалки 10.0.8.0 совсем не нужна сеть 255.0.0.0, припиши маску 255.255.255.0

Да, вариант очень даже неплохой.

Цитата:

то, что провадер у себя внутри использует сеть 10.0.0.0 -- не правильно, но решаемо использованием NAT-а на ADSL модеме или маршрутизаторе

Вот я и хочу использовать Server 2003 в качестве маршрутизатора.

Цитата:

на компе-сервере контроллере домена ДНС должен быть прописан только на локальном сетевом интерфейсе, причем прописан адрес самого сервера, а интернет-адреса должны разрешаться за счет пересылки с вашего DNS сервера (см настройки) на провайдерский.

Мои посты об этом и говорят. Именно так всё и настроено у меня.

Больше нету мыслей ни у кого?

Sauron_zombie
Цитата:

Больше нету мыслей ни у кого?

Дак ведь главную мысль тебе высказали. Не годятся виндуза для нормальной маршрутизации. Никогда не задавлся вопросом, зачем люди дорогие циски покупают, когда старых компов с виндузами полно?
Из старой зингеровской швейной машинки цветной телевизор не сделаешь.

vlary
Цитата:

когда старых компов с виндузами полно

очень даже прекрасно на более-менее старом компе стоит linux и пашет он шлюзом на 100+ юзеров... да что я вам рассказываю...) вы-то уж знаете что из чего можно сделать...
Цитата:

Из старой зингеровской швейной машинки цветной телевизор

например

и PBR вам там и обратный прокси и чего только пожелаете...

Спасибо, други!
Как говорится, хотели, как лучше, а получилось...


Цитата:

Microsoft gives you windows, linux gives you the whole house...

вот уж правильное утверждение!

Нужна помощь!
Имеется комп XP SP3, назовем его SERV. На нем две сетевые карты. Одна в локальную сеть. Вторая к провайдеру. От провайдера получаем интернет по VPN. Прописал на локальных компах шлюзом локальный IP SERVa, он у меня 192.168.1.21, предпочитаемый и альтернативный DNS провайдера. Создал общее подключение к интернету. Все работает! Т.е. на всех компах есть интернет! Появился еще один провайдер. ADSL-подключение. Есть модем TP-LINK TD-8817. Хочу установить еще одну сетевую плату, подключить к ней модем. Можно создать еще одно общее подключение к интернету? И как его настроить на локальных машинах? Чтобы и через это соединение можно было подключаться к инету всеми компами? Т.е. либо через первого прова, либо через второго? А то бывает, что основной провайдер на некоторое время "пропадает". Приходится разрывать и так уже разорванное соединение, подключать модем к свитчу. И в каждой отдельной локальной машине вручную менять настройки IP. Прописываю IP модема, выставляю DNS уже другого провайдера. Геморрой! Полный! Что посоветуете? Есть ли под XP решение?

Mavolk, второе подключение, боюсь, только при помощи прокси припаять получится (например на продукты Kerio посмотри). Можно конечно попытаться роуты настроить, чтоб на метрике высшего размера пакеты шли на второй шлюз, но ИМХО гемор это будет.