Пробросить трафик с одного порта на Транк

Доброго всем!

На Zywall 1100 создаю транк из двух портов WAN, например DMZ_PR. Подключаю в другой порт типа "external" например АТС. Далее создаю правило маршрутизации, чтобы загнать весь трафик

И не работает, трафик не идет. Сделано для того, чтобы пускать телефонию мимо VPN. Эти железки еще балансируют несколько VPN каналов с помощью VTI. Есть тут кто живой в нашей ветке, кто может подсказать как реализовать?

«1

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer

    Здравствуйте!

    Для точного ответа на ваш вопрос надо смотреть конфигурацию Zywall. Особенно правила файервола и политики маршрутизации, так как проблема скорее всего там. Поэтому для поиска проблемы я бы рекомендовал оформить заявку в техподдержке (https://support.zyxel.eu/hc/ru) и выслать туда конфигурацию и, желательно, топологию Zywall 1100.

    По сценарию, есть вопросы к необходимости подключать АТС в порт типа "external". Это совсем не гарантия того, что ее трафик пойдет мимо VPN. Эта задача, независимо от расположения АТС, решается политикой маршрутизации. Учитывая то, что по видимому АТС имеет приватный адрес, то совсем непонятно для чего подключать его к "external" интерфейсу.

  • AvksSerg
    AvksSerg Публикаций: 7
    First Comment

    есть объединение сетей от провайдера канал "темное волокно" + резерв на L2VPN от другого. Это и есть DMZ внутренний наш. На Zywall два порта WAN смотрят в эти каналы. Через тупой свич в темное волокно напрямую воткнуты некоторые устройства. Хочу настроить отдельный порт на ZW с пробросом трафика туда и обратно и перенаправлять его на созданный транк из WAN1 и WAN2. То есть чтобы при проблемах с темным волокном зайвол перекидывал весь трафик на второй порт. В VPN не могу загнать голос от АТС, так как руководство против мотивируя задержками и плохим качество связи после. Приложил примерный рисунок, с другой стороны такая же картина и так на 4 производствах.

  • AvksSerg
    AvksSerg Публикаций: 7
    First Comment
  • AvksSerg
    AvksSerg Публикаций: 7
    First Comment
    отредактировано декабря 2019

    Zyxel_Andrew, я приложил схему, что хочется реализовать. То есть надо, чтобы было подключено по "ПУНКТИРНОМУ КАНАЛУ" Наверно не обязательно делать порт  "external", возможно пойдет и "internal" или "general". Но мне надо соблюсти обязательное условие, чтобы трафик между выносами АТС не попадал в VPN. АТС имеет адрес такой же, как и все остальное в DMZ, из той же подсети что и WAN порты

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer

    Скажите, а ваша, так называемая зона DMZ, имеет общую подсеть с такими же зонами в других филиалах или у каждого филиала своя собственная подсеть для DMZ?

    АТС должны связываться только с ATC в других филиалах подключенных так же в DMZ?

    Есть ли требование по тому, какой канал, WAN1 или WAN2, должен быть основным для связи между ATC?

  • AvksSerg
    AvksSerg Публикаций: 7
    First Comment
    1. Подсеть общая в DMZ
    2. Атс должны связываться только с подключенных в DMZ
    3. Требования нет конечно. Любой может быть основным.


  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer

    В таком случае можем предложить использовать динамическую маршрутизацию для обоих WAN интерфейсов. Для этого необходимо:

    • подключить АТС к новому интерфейсу Zywall (назовем его DMZ) с типом general,
    • активировать OSPF на обоих WAN интерфейсах (активные) и новом DMZ (пассивный) и
    • назначить стоимость для каждого из WAN интерфейсов для выбора более приоритетного канала связи.

    Повторить ту же конфигурацию для шлюзов всех филиалов с АТС указав разные подсети для DMZ интерфейсов разных шлюзов. И не забыть про настройку файервола.

    В такой конфигурации АТС будет доступна через один или другой WAN интерфейс.

  • AvksSerg
    AvksSerg Публикаций: 7
    First Comment

    ОК, попробую через два дня. Сегодня в Москву в командировку.

  • AvksSerg
    AvksSerg Публикаций: 7
    First Comment

    Доброго. Не могу сделать разные подсети, есть ограничения из за использования IP-телефонов руководством.

    Но я нашел вроде как решение, которое мне поможет решить задачку.. Только я не пойму. https://support.zyxel.eu/hc/ru/articles/360000709460-%D0%A0%D0%B5%D0%B7%D0%B5%D1%80%D0%B2%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-VPN-%D1%81%D0%BE%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D0%B9-%D0%BF%D1%80%D0%B8-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%B8-VPN-%D0%BA%D0%BE%D0%BD%D1%86%D0%B5%D0%BD%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0 Настройка по этой статье поможет, смогу преключить немного по-другому. НО у меня вопрос, тут написано, что будут использоваться два интерфейса WAN 1, 2 но ведь VPN Gateway делают на один всего порт? Или все таки указание второго IP как раз и будет переключать? Правильная ли это инструкция?

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer

    Здравствуйте!

    Я не совсем понял какую именно задачу вы пытаетесь решить способом предложенным в указанной вами статье нашей Базы Знаний. Это решение для резервации VPN туннеля. У вас уже организована балансировка туннелей с помощью VTI.

    К сожалению я так же не понимаю в чем заключаются ограничения на использование IP телефонов при размещении ATC за DMZ интерфейс. Я вижу динамическую маршрутизацию единственным способом решить поставленную вам задачу.

    тут написано, что будут использоваться два интерфейса WAN 1, 2 но ведь VPN Gateway делают на один всего порт? Или все таки указание второго IP как раз и будет переключать?

    Второй IP указывается для переключения в случае недоступности первого. Для того, что бы не указывать для VPN Gateway конкретный порт можно выбрать My Address > Domain name/IPv4 = 0.0.0.0