AK
если это ваш случай , стОит поставить JHF
Size: a a a
2020 October 20
SK
Конкретно в статье нет упоминания о VPN и Redundancy. Да и в этой инсталляции он не используется.
SK
Потому и сомневаюсь. Может есть варианты где-то ещё покопаться.
АД
Коллеги, добрый день!
А кто-то сталкивался с неверной маршрутизацией пакетов?
Чек маршрутизирует две подсети с "белыми" адресами, обе помечены как DMZ.
Пакет от SRV A уходит до SRV B, но примерно половина исходящих пакетов почему-то вылетает через тот же интерфейс что пришла. При этом их не ловит даже правило в которм явно указана исходящая сеть, не зона.
А кто-то сталкивался с неверной маршрутизацией пакетов?
Чек маршрутизирует две подсети с "белыми" адресами, обе помечены как DMZ.
Пакет от SRV A уходит до SRV B, но примерно половина исходящих пакетов почему-то вылетает через тот же интерфейс что пришла. При этом их не ловит даже правило в которм явно указана исходящая сеть, не зона.
Актуально. Только у меня не ДМЗ, а два внешних канала, которые используются по разному: через один выходят внутренние пользователи, а через другой "заходят" на внутренние ресурсы. Может это решается через PBR?..
VC
PBR кстати кто-то реально использует? оно не кладет CPU?
SK
Алексей Дагиль
Актуально. Только у меня не ДМЗ, а два внешних канала, которые используются по разному: через один выходят внутренние пользователи, а через другой "заходят" на внутренние ресурсы. Может это решается через PBR?..
Это можно было бы решить через PBR, либо через VSX, если лицензия позволяет) Но фокус в том, что часть пакетов, с совпадающими src и dst идёт правильно, а часть нет)
ММ
PBR кстати кто-то реально использует? оно не кладет CPU?
да используем особой нагрузки на ЦПУ не замечено
SK
Таким образом тут либо глюк либо какой-то сбой в NAT Templates.
SK
PBR кстати кто-то реально использует? оно не кладет CPU?
Нет, не кладёт, а почему должно?
VC
Нет, не кладёт, а почему должно?
по опыту с древними cisco рутерами, pbr шел чисто через cpu
SK
Алексей Дагиль
Актуально. Только у меня не ДМЗ, а два внешних канала, которые используются по разному: через один выходят внутренние пользователи, а через другой "заходят" на внутренние ресурсы. Может это решается через PBR?..
Кстати, у одного из клиентов был такой же глюк, на 80.30-80.40, решилось установкой патча через TAC. Обещали этот патч включить в ближайший большой JHF.
SK
Наблюдалось на Load Sharing при двух провайдерах.
АД
Наблюдалось на Load Sharing при двух провайдерах.
Не используем isp redundancy.
АД
Коллеги, нужна помощь. Все что нахожу про PBR подразумевает маршрутизацию между двумя isp изнутри наружу. У меня же ситуация, когда внутренние пользователи должны ходить по одному каналу, а сервисы, которые доступны из Интернет, по другому. Я правильно понимаю, что тут должна отрабатывать statefull inspection?..
SK
А вы могли бы уточнить задачу? Потому что в такой формулировке, вам даже PBR особо не нужен. Ставьте NAT для разных подсетей на разные адреса и всё.
VC
имхо, бэкап каналов и балансировка - это дело рутеров
АД
Решилось все установкой take 83
AK
Коллеги, подскажите, есть ли какие-либо нюансы при развертывании Cloudguard Iaas в Hyper-V? Тип Network adapter, Storage adapter?
AK
Как например в VMware нужно выбирать тип Storage адаптера Paravirtual
AK
Спасибо, нашел sk106855.