RazorBlade: Почитал подробнее про локальную политику - спасибо, раньше не обращал внимания на трафик генерящийся самим маршиком. Но проблема, что он одинаково ведет себя и с локальной политикой, и без нее. Пока сделал с разной метрикой, но у меня политиками разруливается только интересующий меня трафик - и при разной метрике основной поток (http, https и т.п.) гонится через ISP с меньшей метрикой. Если же привязываю в политике трафик https к маршруту с большей метрикой - то трафик https перестает вообще ходить, ни я достучаться до сайтов на https не могу. ни у меня трансляция не работает. Пока вот такая печальная картина.
В любом случае спасибо за помощь)
RazorBlade: к сожалению, ситуация не изменилась, пока оба маршрута равнозначны - отклика нет, за редким исключением. Когда выставляю метрику у ISP2 больше, или вообще удаляю - все ходит отлично... Пока не понимаю, что еще может быть не так. Указывал так же весь трафик https гнать через ISP1 - добавлял правило в WAN1_Services - так же безрезультатно.
RazorBlade: понятно, спасибо. Добавил данную конструкцию в свой конфиг (политику повесил на внешние интерфейсы)- вроде открывается, но с задумчивостью секунд в 10. Примерно такое же поведение, если отключаю cef, но при выключенном cef все тормозит, хотя проц не показывает особого роста нагрузки. Но спустя некоторое время при отключенном cef доступность пропадает полностью. Помониторю - как будет себя вести сейчас. Отпишусь. В любом случае СПАСИБО.)
PS. При работе с 1 маршрутом, или если метрику второго провайдера понизить - то все летает((
RazorBlade: по первому, да, пропустил, строчка ровно та же, только адрес прова другой:
ip nat inside source static tcp 192.168.100.2 443 y.y.y.y 443 extendable
А по второму не совсем догоняю:
мы разрешаем трафик через 2-ух провайдеров, в роут-мапе говорим, сначала идти через ISP1, и вешаем политикой на ... Я так понимаю - на внешние интерфейсы?? и помогать она будет с тем, что когда трафик будет идти назад - политика будет указывать жестко на какой шлюз дальше кидать, т.е. сохранять путь назад неизменным?
Спасибо.
ip access-list extended LAN-to-WAN_Services
deny udp any any eq netbios-ns netbios-dgm
permit icmp any any echo
permit tcp any any eq ftp
permit ip object-group GRP_DMZ_HOSTS_ALL any
deny ip any any log
ip access-list extended WAN1_FILTER_IN
remark ---deny all fragments---
deny tcp any any fragments
deny udp any any fragments
deny icmp any any fragments
deny ip any any fragments
remark ---permit some ICMP traffic---
permit icmp any object-group WAN1_IP echo
permit icmp any object-group WAN1_IP echo-reply
permit icmp any object-group WAN1_IP unreachable
permit icmp any object-group WAN1_IP ttl-exceeded
remark ---deny all other ICMP traffic---
deny icmp any any
remark ---deny traffic from dedicated address ranges---
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 224.0.0.0 15.255.255.255 any
deny ip host 0.0.0.0 any
remark ---deny traffic with ip options---
deny ip any any option any-options
remark ---deny packets with low TTL---
deny ip any any ttl lt 2
remark ---deny traffic from own ip-address---
deny ip object-group WAN1_IP object-group WAN1_IP
deny ip object-group WAN2_IP object-group WAN1_IP
remark ---deny NetBIOS and SMB traffic---
deny udp any any eq 135
deny udp any any eq netbios-dgm
deny tcp any any eq 139
deny udp any any eq 445
deny tcp any any eq 445
remark ---permit all other traffic---
permit ip any any
remark ---deny all other traffic (explicitly)---
deny ip any any
ip access-list extended WAN4_FILTER_IN
remark *** WAN4 inbound filter ***
remark ---deny all fragments---
deny tcp any any fragments
deny udp any any fragments
deny icmp any any fragments
deny ip any any fragments
remark ---permit some ICMP traffic---
permit icmp any object-group WAN4_IP echo
permit icmp any object-group WAN4_IP echo-reply
permit icmp any object-group WAN4_IP unreachable
permit icmp any object-group WAN4_IP ttl-exceeded
remark ---deny all other ICMP traffic---
deny icmp any any
remark ---deny packets with low TTL---
deny ip any any ttl lt 2
remark ---permit all other traffic---
permit ip any any
remark ---deny all other traffic (explicitly)---
deny ip any any
Да забыл добавить - подсеть 192.168.100.0/24 - DMZ, в нем находится файрвол, через который организуется доступ дальше в сеть, и пару служебных серваков.
interface GigabitEthernet0/0.100
description *** LAN ***
encapsulation dot1Q 100 native
ip address 192.168.100.50 255.255.255.0
ip access-group LAN-to-WAN_Services in
ip nat inside
ip virtual-reassembly in
ip policy route-map PBR1
no cdp enable
interface GigabitEthernet0/1.81
description *** WAN1 ***$ETH-WAN$
bandwidth 5000
bandwidth receive 15000
encapsulation dot1Q 81 native
ip address x.x.x.x+1 255.255.255.252
ip access-group WAN1_FILTER_IN in
ip nbar protocol-discovery ipv4
ip flow monitor FLOW_MONITOR_WAN1_IN input
ip flow monitor FLOW_MONITOR_WAN1_OUT output
ip nat outside
ip virtual-reassembly in
no cdp enable
crypto map CMAP_1
interface GigabitEthernet0/2
description *** WAN4 ***
bandwidth 29000
ip address dhcp
ip access-group WAN4_FILTER_IN in
ip nbar protocol-discovery ipv4
ip flow monitor FLOW_MONITOR_WAN4_IN input
ip flow monitor FLOW_MONITOR_WAN4_OUT output
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
crypto map CMAP-STSVPN-MTS
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route 0.0.0.0 0.0.0.0 y.y.y.y
ip access-list extended NAT_SELECTOR
....
permit ip object-group GRP_DMZ_HOSTS_ALL any
deny ip any any
ip access-list extended WAN4_Services
remark ***VTB-Bank***
permit tcp any host 194.158.195.68 eq www
permit tcp any host 194.158.195.68 eq 443
ip access-list extended WAN1_Services
permit tcp any any eq smtp
permit tcp any any eq pop3
permit udp host 192.168.100.2 host z.z.z.z eq isakmp
permit udp host 192.168.100.2 host z.z.z.z eq non500-isakmp
permit esp host 192.168.100.2 host z.z.z.z
permit tcp host 192.168.100.2 host z.z.z.z eq 4500
route-map PBR1 permit 10
match ip address WAN4_Services
set ip next-hop verify-availability y.y.y.y
!
route-map PBR1 permit 20
match ip address WAN1_Services
set ip next-hop verify-availability x.x.x.x
route-map NAT_WAN4 permit 10
match ip address NAT_SELECTOR
match interface GigabitEthernet0/2
route-map NAT_WAN1 permit 10
match ip address NAT_SELECTOR
match interface GigabitEthernet0/1.81
ip nat inside source route-map NAT_WAN1 interface GigabitEthernet0/1.81 overload
ip nat inside source route-map NAT_WAN4 interface GigabitEthernet0/2 overload
ip nat inside source static tcp 192.168.100.2 443 x.x.x.x+1 443 extendable
В кратце - WAN4_Services - проблемы у банка с оператором, потому интернет-банкинг идет жестко через gi0/2. WAN1_Services - почта и внутри в дмз есть пир для ipsecVPN - потому жестко к gi0/1.81. В NAT_SELECTOR предыдущие пару правил - запреты коннектов между сетями, подключенными по VPN.
ip cef - работает на всех интерфейсах, отключал на внутреннем сабе - без изменений.
Если я правильно понял:
есть домен domain.com как а-запись x.x.x.x
хочу для него сделать mx-запись для работы почты - добавляю субдомен:
mx1.domain.com как a-запись x.x.x.x
и делаю mx-запись для домена domain.com
сопоставляя domain.com mx 5 mx1.domain.com
Далее, хочу добавить второй публичный адрес, для доступа к тому же серваку,
делаю а-запись: mx2.domain.com a y.y.y.y
и затем сопоставляю уже субдомен mx2.domain.com как вторую mx-запись, с меньшим приоритетом:
domain.com mx 10 mx2.domain.com.
Таким образом при недоступном x.x.x.x письма будут отправляться на y.y.y.y?
Raul Duke: на маршрутизаторе указываешь необходимые маршруты, и все. Так же ацл'ями можно всякие ограничения повносить. К примеру указываешь в маршруте из какой сети в какую через какие интерфейсы ходить. Вот тут очень хорошо расписано: https://habrahabr.ru/post/140552/