faq обучение настройка
Текущее время: Пт янв 19, 2018 22:23

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
 Заголовок сообщения: VPN на DSR-250N успешный опыт
СообщениеДобавлено: Вс фев 03, 2013 13:39 
Не в сети

Зарегистрирован: Вс фев 03, 2013 12:14
Сообщений: 2
Хочу поделиться опытом. Может кому поможет. Купил перед новым годом сабж в количестве 6 штук для связи центрального офиса с 5-ти торговыми точками. (Сеть кафешек). 3-и недели я бился головой об стену пытаясь заставить работать как положено это железо. Вобщем камрады хочу резюмировать следующее.
Во 1-ых с той прошивкой которая идет из магазина это нихрена нормально не работает. Надо апгрейдить как минимум до версии 1.05B73_RU.
Во 2-ых НИ В КОЕМ СЛУЧАЕ НЕ НАДО РЕДАКТИРОВАТЬ СУЩЕСТВУЮЩЕЕ ПРАВИЛО. Только убивать и писать новое.

Текущая сетка такая: 192.168.0.1 - сервак
192.168.1.0-192.168.5.0 - удаленные кафешки. Провайдеры были разные Onlime+Горком. Часть публичных адресов получалась через DHCP. 2-а адреса были прописаны ручками.

В общем описываю как всё сделать, чтобы это работало.

1. Берёте новую железяку (либо существующую, у которой удалены ВСЕ настройки файрвола, VPN, а также роутинга). Апгрейдите её до версии указанной выше.
2. В разделе Setup -> Network Settings меняете настройки вашей сети как вам надо.
3. В разделе Setup-> Wizard->VPN Wizard создаете правило тунеля. Пишем правило для сервера
VPN type - выбираете сайт-ту-сайт.
Connection Name: пишите имя вашего соединения.
IP Protocol Version:IPv4
IKE Version:IKEv1
Pre-Shared key: пишите ключ который должен быть ОДИНАКОВЫМ
Local Gateway: DEDICATED WAN
Step 2: Configure Remote & Local WAN Addresses
Remote Gateway Type:IP adress
Remote WAN's IP Address / FQDN: указываете внешний IP удаленной точки
Local Gateway Type:IP adress
Local WAN's IP Address / FQDN: указываете публичный IP вашего сервера.
Remote Network IP Address:указываете адрес роутера удаленной точки например 192.168.1.1
Remote Network Subnet Mask:255.255.255.0 (штатно)
Local Network IP Address:указываете адрес роутера сервера например 192.168.0.1
Local Network Subnet Mask:255.255.255.0 (штатно)
Below is a detailed summary of your VPN Configuration. шаг 3. Нажимаем кнопочку Connect.
Переходим в раздел Setup ->VPN settings-IPsec->IPSEC POLICIES
Находим свое правило. Жмем на нем галочку чтобы оно стало АКТИВНЫМ и нажимаем кнопочку EXPORT
Открывается меню VPN CONFIG EXPORT WIZARD FOR REMOTE DSR
Внизу нажимаем Export Poilicy
Запоминаем куда сохраняется файл ezvpn.cfg. Это будет файл конфигуратор для удаленной точки.
Открываем го например с помощью WordPad.
Вот оно:
IpsecIKEPolicy = {}
IpsecIKEPolicy[1] = { }
IpsecIKEPolicy[1]["IKEPolicyName"] = "здесь пишите имя правила"
IpsecIKEPolicy[1]["Direction"] = "2"
IpsecIKEPolicy[1]["ExchangeMode"] = "0"
IpsecIKEPolicy[1]["IKEVersion"] = "1"
IpsecIKEPolicy[1]["ModeConfigStatus"] = "0"
IpsecIKEPolicy[1]["ModeConfigRecordName"] = "modeConfig"
IpsecIKEPolicy[1]["LocalIdentifierType"] = "0"
IpsecIKEPolicy[1]["LocalIdentifier"] = ""
IpsecIKEPolicy[1]["RemoteIdentifierType"] = "0"
IpsecIKEPolicy[1]["RemoteIdentifier"] = "публичный ip вашего сервака"
IpsecIKEPolicy[1]["EncryptionAlgorithm"] = "1"
IpsecIKEPolicy[1]["KeyLength"] = "0"
IpsecIKEPolicy[1]["AuthAlgorithm"] = "1"
IpsecIKEPolicy[1]["AuthType"] = "0"
IpsecIKEPolicy[1]["Presharedkey"] = "ваш ключ"
IpsecIKEPolicy[1]["DHGroup"] = "2"
IpsecIKEPolicy[1]["SALifeTime"] = "28800"
IpsecIKEPolicy[1]["DPD"] = "1"
IpsecIKEPolicy[1]["DPDDetectionPeriod"] = "10"
IpsecIKEPolicy[1]["DPDFailureCount"] = "3"
IpsecIKEPolicy[1]["XAUTHType"] = "0"
IpsecIKEPolicy[1]["NatTraversal"] = "0"
IpsecIKEPolicy[1]["NatKeepAliveTime"] = "20"
IpsecIKEPolicy[1]["AddressFamily"] = "2"
IpsecVPNPolicy = {}
IpsecVPNPolicy[1] = { }
IpsecVPNPolicy[1]["IpsecProtocol"] = "1"
IpsecVPNPolicy[1]["TunnelOrTransport"] = "1"
IpsecVPNPolicy[1]["EnableDhcpOverIPSec"] = "0"
IpsecVPNPolicy[1]["VPNPolicyName"] = "здесь пишите имя правила"
IpsecVPNPolicy[1]["PolicyType"] = "1"
IpsecVPNPolicy[1]["LocalGateway"] = "0"
IpsecVPNPolicy[1]["RemoteEndPointType"] = "0"
IpsecVPNPolicy[1]["RemoteEndPoint"] = "публичный ip вашего сервака"
IpsecVPNPolicy[1]["Netbios"] = "1"
IpsecVPNPolicy[1]["Rollover"] = "0"
IpsecVPNPolicy[1]["EnableKeepAlive"] = "0"
IpsecVPNPolicy[1]["KeepAlivePeriod"] = "10"
IpsecVPNPolicy[1]["KeepAliveFailureCount"] = "3"
IpsecVPNPolicy[1]["EncryptionAlgorithm"] = "2"
IpsecVPNPolicy[1]["KeyLength"] = "0"
IpsecVPNPolicy[1]["AuthAlgorithm"] = "1"
IpsecVPNPolicy[1]["LocalNetworkType"] = "3"
IpsecVPNPolicy[1]["LocalStartAddress"] = "192.168.1.0" (не забудьте поменять как вам надо)
IpsecVPNPolicy[1]["LocalSubnetMask"] = "255.255.255.0"
IpsecVPNPolicy[1]["RemoteNetworkType"] = "3"
IpsecVPNPolicy[1]["RemoteStartAddress"] = "192.168.0.0"(не забудьте поменять как вам надо)
IpsecVPNPolicy[1]["RemoteSubnetMask"] = "255.255.255.0"
IpsecVPNPolicy[1]["SPIIn"] = "0x"
IpsecVPNPolicy[1]["SPIOut"] = "0x"
IpsecVPNPolicy[1]["AutoPolicyType"] = "0"
IpsecVPNPolicy[1]["SALifeTime"] = "3600"
IpsecVPNPolicy[1]["SALifeTimeType"] = "0"
IpsecVPNPolicy[1]["PFSKeyGroup"] = "2"
IpsecVPNPolicy[1]["IKEPolicyName"] = "здесь пишите имя правила"
IpsecVPNPolicy[1]["Status"] = "1"
IpsecVPNPolicy[1]["RVGStatus"] = "0"
IpsecVPNPolicy[1]["BackupPolicyName"] = ""
IpsecVPNPolicy[1]["FailbackTime"] = "30"
IpsecVPNPolicy[1]["modeConfigStatus"] = "0"
IpsecVPNPolicy[1]["ModeConfigRecordName"] = "modeConfig"
IpsecVPNPolicy[1]["AddressFamily"] = "2"
IpsecVPNPolicy[1]["AutoInitiate"] = "0"

Сохраняете его. Это будет готовый конфигурационный файл для вашей удаленной точки. Далее едете туда (а если в разделе Tools->Admin->REMOTE MANAGEMENT разрешаете удаленное управление то никуда не едете а подключаетесь откуда хотите) и в разделе Setup->Wizard->VPN Wizard выбираете в разделе Easy Setup Site to Site VPN Tunnel свой конфигурационный файл и производите его выгрузку.

Далее идете в раздел ADVANCED ->Firewall Settings->FIREWALL RULES и прописываете правило
# Status From Zone To Zone Service Action Source Hosts Dest Hosts Local Server Internet Dest Log
1 Enabled LAN WAN ANY ALLOW always Any Any Never

Это правило надо прописать как на серваке, так и на удаленной точке.
ВСЁ! После этого можно пингануть удаленную точку и примерно секунд через 15-20 VPN заработает.

Возможен гемморой с видеонаблюдением. Мне ставили задачу сделать так, чтобы все работало. В итоге после недели е#$и родилось правило разрешающее доступ из WAN к LAN 2-ум протоколам. Это HTTP и RTSP:TCP.
Вобщем резюмируя - основной гемморой возникает когда мешает какое-то правило файрвола. Вобщем 3-и недели потраченных нервов, цистерна выпитого пива, скуренный этот форум примерно до 70 страницы. И золотой ключик в итоге будет у вас в кармане. Из плюсов этого железа - его конечно цена. Ну и нюансы надо учитывать которые писал в самом начале.

Надеюсь кому то смог помочь.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN на DSR-250N успешный опыт
СообщениеДобавлено: Вс фев 03, 2013 18:15 
Не в сети

Зарегистрирован: Вс фев 03, 2013 17:36
Сообщений: 20
Откуда: Оренбург
Спасибо!!! Сэкономил конторе приличную сумму. Я хорошо знаком с серией DFL-xxxx и уже было хотел воевать с начальством за выделение денег на DFL-260E, а они в двое дороже.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN на DSR-250N успешный опыт
СообщениеДобавлено: Вс фев 03, 2013 18:51 
Не в сети

Зарегистрирован: Вс фев 03, 2013 12:14
Сообщений: 2
HangLider писал(а):
Спасибо!!! Сэкономил конторе приличную сумму. Я хорошо знаком с серией DFL-xxxx и уже было хотел воевать с начальством за выделение денег на DFL-260E, а они в двое дороже.


Да не за что. :D Кстати основной прикол был в том, что я в начале то купил 2-а роутера и вначале попробовал будет ли работать VPN. Заработало сразу, но потом затык с 4-мя оставщимися. Т.е. 1 канал вставал, а вот 5 сразу - нихера. Вобщем терпение и труд всё перетрут. :)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN на DSR-250N успешный опыт
СообщениеДобавлено: Пн фев 04, 2013 09:16 
Не в сети
Модератор
Модератор

Зарегистрирован: Ср окт 17, 2012 10:02
Сообщений: 2921
Откуда: D-Link, Ryazan
Перенес в раздел "Полезные настройки". Спасибо за подробное описание.

_________________
Полезные настройки


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 32


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB