Народ прошу помощи, сам туплю со страшной силой.
Дано 2 офиса в разных городах.
1. DFL-860E
192.168.0.1 /24

2. DFL-800 (удаленный)
192.168.10.1 /24

Сейчас настроен VPN между этими точками, все более или менее работает. Решили улучшить ситуацию запросили у провайдера прямой канал L2. Т.е. если на обоих сторонах в этот канал воткнуть компы находящиеся в 1 подсети то они друг друга увидят без каких либо настроек дополнителных типа ВЛАН и все такое.
Нужно настроить обе железяки не меняя подсеть удаленного (2) офиса.
На обоих железяках есть свободные ЛАН порты и свободные ДМЗ.
Простейшая вроде операция но туплю страшно, комрады помогите пожалуйста.

_________________
С уважением, Иван.
____________________________________

без в лан вам на 800 не обойтись .
ставите на обоих концах свичи ( управляемые ) загоняете их в vlan и делаете маршруты через получившуюся у вас транспортную сеть .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А через порт ДМЗ никак разве нельзя настроить. Он же свободный на обоих железяках и маршруты и правила на него прописать правда я сейчас пока не додумал как это сделать.
Еще мысль была через АРП обьявить на Лан интерфейсе ИП другой подсети и настроить маршруты через лан. Но тоже пока не понимаю ясно как сделать.

_________________
С уважением, Иван.
____________________________________

если DMZ свободен - то втыкайте туда и настраивайте маршруты и правила - вариант супер

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да! Но! Возникает вопрос о логике. т.е. какие примерно настройки должны быть на обоих портах яж говорю, что примерно сам процесс понятен, но тонкости типа конкретных настроек. Подскажите мож какой ман подходит? Мне бы только похожую ситуацию рассмотреть.

_________________
С уважением, Иван.
____________________________________

Да все очень просто.

На обоих DMZ делаете dmz_ip, dmznet так,чтобы они были в одной сети с разными адресами

Прописываете маршрут

<удаленная LAN> dmz <dmz_адрес удаленного DFL>

IP правила

Allow lan lannet dmz remote_lannet all-services
Allow dmz remote_lannet lan lannet all-services

Необязательные, но полезные правила для диагностики

allow lan lannet core dmz_ip ping-inbound
allow dmz remote_lannet core dmz_ip ping-inbound

всё!

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Огромное спасибо - YuriAM.
Единственное уточнение, нужно еще разрешить траффик внутри сети DMZ
Allow dmz_ip dmznet core dmz_ip all-services
Теперь мы видим удаленный порт DMZ Пинги ходят и вроде бы все должно быть хорошо. НО!
Начну сначала есть IPSec туннель до Москвы (основной офис в Питере). Настроены правила и маршруты.
Оба офиса в постоянной связке и выключить VPN не могу. Как уже говорил провайдера с обоих сторон шнурки воткнуты в DMZ. Канал я проверил пинги между концами ходят. В итоге действую так.

со стороны СПб.
dmz_ip 192.168.2.253
dmznet 192.168.2.0/24
dmz_ip_msk 192.168.2.254
lannet_msk 192.168.10.0/24 (локальная сеть Москвы)



Со стороны МСК
dmz_ip 192.168.2.254
dmznet 192.168.2.0/24
dmz_ip_spb 192.168.2.253
lannet_spb 192.168.0.0/24



Итак если я включаю правила со стороны питера 11-ое со стороны МСК 1-ое
то все передвижения трафика между офисами прекращается. Прошу помоч сам не могу найти ошибку.

_________________
С уважением, Иван.
____________________________________

мне трудно придумать почему не работает.

покажите оба status-routes на момент, когда запускаете новую конфигурацию

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вот
Со стороны Москвы.


Со стороны Питера

_________________
С уважением, Иван.
____________________________________

cо стороны москвы ликвидировать маршрут
192.168.0.0/24 dmz

cо стороны питера ликвидировать маршруты
192.168.10.0/24 dmz
192.168.2.0/24 dmz 192.168.0.3

и снова показать status-routes

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Все, все нормально сделал чуть позже опишу как что сделал чтобы работало.
Сразу скажу провайдер блочил локальные порты т.е. тоже долго не понимал почему общий трафик ходит, а сервера не доступны.
В дальнейшем думаю завернуть тот самый IPSEC в этот канал.

_________________
С уважением, Иван.
____________________________________

Рассказываю как сделал.
(данная сеть является не защищенной т.к. провайдер может снифить трафик между 2-мя DFL)
Назначаем обоим DMZ по ип у меня это подсеть 192.168.2.0/24
ПИТЕР
192.168.2.253
192.168.2.0/24

МОСКВА
192.168.2.254
192.168.2.0/24

Добавляем маршруты -
dmz_ip_msk - Ип ДМЗ в Москве
lannet_msk - Московская подсеть, у меня 192.168.10.0/24
dmz_ip_spb - ИП ДМЗ в Питере
lannet_spb - Питерская подсеть, у меня 192.168.0.0/24
ПИТЕР
dmz - lannet_msk - dmz_ip_msk - dmz_ip - 80
МОСКВА
dmz - lannet_spb - dmz_ip_spb - dmz_ip - 80


Правила доверия для локальных сетей.
Т.к. сети PPTP IPSEC lan и Lan_(remote) в принципе доверяют друг другу то чтобы не плодить одинаковые правила разрешаем все для всего.(спасибо за дельную мысль )
ПИТЕР-МОСКВА
Lan_all - все локальные интерфейсы - lan+dmz+fw_ipsec_tunnel+pptp_srv_wans
lan_nets - все локальные подсети - lannet+lan(удаленная msk или spb)+dmznet

All_lans_allow - Allow - Lan_all - lan_nets - Lan_all - lan_nets - all_tcpudp

Этого должно хватить для прокидывания сетей.

Так же можно убрать весь трафик в ИПСЕК для этого по мануалу -
Виртуальная частная сеть, использующая туннели lan-to-lan по протоколу IPsec
Единственное меняем в настройках - Remote Endpoint: = dmz_ip_msk и dmz_ip_spb соответственно.
и маршрут
ПИТЕР
fw_ipsec_tunnel - lannet_msk - 90
МОСКВА
fw_ipsec_tunnel - lannet_spb - 90
Естественно нужно отключить маршруты указанные выше -
dmz - lannet_spb - dmz_ip_spb - dmz_ip - 80
dmz - lannet_msk - dmz_ip_msk - dmz_ip - 80

Есть одно НО в использовании ИПСЕК, в случае если у вас скорость канала более 30мбит/с то при заведении трафика в ИПСЕК скорость канала будет ограничена этими 25-35 мбит/с, видимо это связано с ограничениями на железяках.

UP: Поднял МТУ в настройках роутинга на обоих концах ИПСЕК туннеля. MTU=1600 в принципе жить можно, примерно 55-65 мбит\с по замерам iperf. Чисто умозрительно доступ к шарам стал более устойчивым и быстрым. Дальнейшее увеличение МТУ прироста не дало.

_________________
С уважением, Иван.
____________________________________

Описанная выше схема работает, но не устраивает скорость локалки через ИПСЕК. Т.е. те лицензионные 30 мбит не спасают. Хочется пустить трафик в незашифрованном виде. И в принципе проблем нет. Добавляем маршруты -

Москва - dmz - lannet_spb - dmz_ip_spb - 80
СПБ - dmz - lannet_msk - dmz_ip_msk - 80

отключаем маршруты ИПСЕК
Москва - fw_ipsec_tunnel - lannet_msk - 80
СПБ - fw_ipsec_tunnel - lannet_msk - 80

Теперь локалка бегает через незашифрованный канал 100 мбит все хорошо (конечно это не кошерно что канал не шифруется, но тут выбирать не приходится.)

Теперь проблема прокинуть интернет в тот же провод. По условиям задачи Москва получает интернет через СПБ. т.е. через тот же канал, что и локалку.
т.е. если создаем маршрут:
Москва - dmz - all-nets - dmz_ip_spb(или гейт питерской сетки) - 90
инет не ходит.

В случае если первые маршруты отключены и действуют маршруты ИПСЕК то все ходит прекрасно. Локалка через ИПСЕК, интернет через питерский шлюз ДМЗ_ИП.

Последние настройки МСК - https://docs.google.com/folder/d/0B8E1PEl7i8NZRDhqVHR2R1BfZTg/edit





Последние настройки СПБ - https://docs.google.com/folder/d/0B8E1PEl7i8NZdFBBMTV6WkVrYnM/edit

_________________
С уважением, Иван.
____________________________________

Чтобы завернуть интернет через туннель, надо
1) в Москве сделать статический маршрут до Питера через wan
2) в параметрах IPsec со стороны Питера поставить сеть = all-nets (local / remote network)
3) в Москве переделать Allow правила в туннель с all-nets
4) в Питере расширить NAT правила из туннеля на wan-интерфейсы

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я дурак. Сегодня я увидел ДЗЕН.
ничего не нужно было делать. Мне же не обязательно было пихать Интернет в ВПН. Мне нужно было их как то обьеденить в 1 канал. т.е. локальный трафик пустить нешифрованным т.к. тормозит и интернет пустить в тот же канал. В общем все просто. нужно было поднять маршрут сведения локальных сетей выше маршрута интернета. Т.к. оба маршрута одинаковые и различаются только сетками за этими маршрутами.
1. dmz lannet_spb dmz_ip_spb 80
2. dmz all-nets dmz_ip_spb 90

в 1-ый будет уходить трафик на сеть питера, во второй все остальное. Работает.

_________________
С уважением, Иван.
____________________________________