Каморка

Нашли себе нового ISP и в связи с этим родился вопрос на предмет наиболее бескровном методе переключения.
+ желательна хотя бы неделя параллельного использования провайдеров.

Дано:
- SonicWALL 3060 и 6 интерфейсов на нем (3 уже использованы: LAN, WAN, DMZ)
- WAN, собственно и заточен на провайдера нумер 1. Соответственно все policies, rules и routing были созданы исходя из этого.

Что хочу (в самом удачном варианте):
- используя свободный сетевой интерфейс на SonicWall, создать второй WAN#2 и направить весь трафик на него приходящий на тот же самый (единственный) LAN interface.
Разумеется, придется создать второй set of rules and policies для этой цели.

Думаю, должно сработать. Кто-нибудь может сказать обратное?


Если "бескровный" вариант отпадает по причинам, о которых я пока не в курсе , то может кто знает тогда "опробованный в боях" open source firewall?
Я бы тогда просто поставил на момент перехода 2-ую машинку с линуксом и с этим firewall'ом и потестил бы 2-го ISP таким способом (ну, и DNS records поменял бы соответственно).

Я в свое время пользовался mon0wall'ом - и был в общем-то доволен, но не уверен что нет лучших вариантов.

Спасибо всем кто дочитал, ну и заранее спасибо за дельные советы!

Есть такой опен-сурс файрволл - iptables называется.
Для настройки применяю csf от http://www.configserver.com/ - тоже фри.
Еще стоит на одной машине стоит старенький narc.
Вроде все работает.
М0н0волом тоже доволен.

Stanislav писал(а):Есть такой опен-сурс файрволл - iptables называется.
Для настройки применяю csf от http://www.configserver.com/ - тоже фри.
Еще стоит на одной машине стоит старенький narc.
Вроде все работает.
М0н0волом тоже доволен.

спасибо !
я про iptables даже не подумал чего-то... Появилась дурацкая привычка из серии "на все готовенькое"

На самом деле с Соником должен фокус получится.
У меня в офисе 2 провайдера - я вот хочу вновь обретенную циску подключить сразу к двум - для отказооустойчивости.

Stanislav писал(а):На самом деле с Соником должен фокус получится.
У меня в офисе 2 провайдера - я вот хочу вновь обретенную циску подключить сразу к двум - для отказооустойчивости.

Да я тоже на это надеюсь...
Они (соникволловцы говорят, что второй WAN интерфейс БУДЕТ работать для failover'а, но мне же на самом деле нужно немного другое...

сконфигурируй второй ван интерфейс, создай default route с более низкой метрикой чем предыдущий + создай полиси. Будет работать

lavep писал(а):сконфигурируй второй ван интерфейс, создай default route с более низкой метрикой чем предыдущий + создай полиси. Будет работать

надеюсь
если я понижу метрику, то весь мой outbound трафик пойдет через "нового" провайдера, а мне в данном случае это не очень принципиально.
главное, чтобы inbound connections могли поподать в мой LAN и через WAN1(линк) и через WAN2 (новый).
Я бы тогда потихоньку перетащил бы все DNS-записи на новые адреса да и рубанул бы старый линк через недельку....

В том случае, если запрос придет на WAN2, а ответ пойдет через WAN1 (и наоборот) - коннект не срастется

Stanislav писал(а):В том случае, если запрос придет на WAN2, а ответ пойдет через WAN1 (и наоборот) - коннект не срастется

твоя правда, боярин
че-то я с утра еще не "включился" (на момент написания первого поста)

At least you have to take care about two things:

1. Enable assymetric routing
2. Disable RPF (Reverse Path Forwarding)

Unfortunately, I have no clue how to do this on SonicWall firewalls. Check documentation.

А как насчет такого ужоса: ставится свич между WAN соника и демарками обоиx ISP. На WAN в соникволе конфигаешь два ИП адреса. Гейтвей на WAN интерфейсе указываешь тока для нового ISP. В суровые безденежные времена делал такое с 2003м сервером, используемым для раутинга, VPN и почты одновременно. Moжет, конечно, чуть чуть неправильно вспоминаю, но работало в поxожей ситуации (два провайдера, один старый, один новый).