Добрый день всем!

Необходимо соединить 2 удалённых офиса (2 и 3) через центральный (офис 1), таким образом, чтобы из офиса 3 можно было бы через rdp подключиться к серверу терминалов в офисе 2 и наоборот (см. схему ниже):


DFL1 - DFL-800, DFL2 и 3 - ВАД-210.
Сделал соответсвующие настройки:
DFL1
ipsec12: 192.168.11.1/24+192.168.13.0/24 | 192.168.12.0/24 | 10.5.1.2
ipsec13: 192.168.11.1/24+192.168.12.0/24 | 192.168.132.0/24 | x.x.x.x

(ipsec12 идёт через dmz, а ipsec13 - через wan)

DFL2
ipsec21: 192.168.12.0/24 |192.168.11.1/24+192.168.13.0/24 | 10.5.1.1

DFL3
ipsec31: 192.168.13.0/24 |192.168.11.1/24+192.168.12.0/24 | y.y.y.y

+ соответветствующие правила на каждом DFL типа allow.

ping проходит из по всем маршрутам:
lan11 -> lan12, lan11 -> 13
lan12 -> lan11, lan12 -> 13
lan13 -> lan11, lan11 -> 12

Из lan11 соединение по rdp и в lan12 и в lan13 устанавливается нормально.
Но из lan12 в lan13 и наоборот соединение по rdp не происходит (вылетает по тайм-ауту). При этом в журнале на DFL3 (при попытке установить rdp-соединение из lan12 в lan13) вижу следующие записи:

2009-05-23
16:55:37 Информация CONN
600002 allow_from_11_nets TCP ipsec31 lan 192.168.12.3 192.168.13.254 57095
3389 conn_close
close
conn=close origsent=152 termsent=0

2009-05-23
16:54:45 Предостережение TCP_OPT
3400019 TCP ipsec31
lan 192.168.12.3 192.168.13.254 57095
3389 mismatching_tcp_window_scale
adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1

2009-05-23
16:54:36 Информация CONN
600001 allow_from_11_nets TCP ipsec13 lan 192.168.12.3
192.168.13.254 57095
3389 conn_open
conn=open

Такая вот ерунда ...

Подскажите, как это можно исправить.

Длявашего случая надо использовать схему hub and spoke Напишите мне на почту в моем профиле об этой схеме и я объясню как её настроить.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Кстати поиск по форуму на слова "hub and spoke" либо просто "spoke" не находит ничего ...

http://en.wikipedia.org/wiki/Hub_and_spoke

Спасибо за ссылку, но я нашёл там только общую информацию типа:
"The hub-and-spoke distribution paradigm (or model or network) is a system of connections arranged like a chariot wheel, in which all traffic moves along spokes connected to the hub at the center. The model is commonly used in industry, in particular in transport, telecommunications and freight, as well as in distributed computing."

Хотелось бы понять как реализовать это на наших любимых DFL

"Обычных" настроек типа "IPSec+правила" по-видимому недостаточно ...

Как это сделать на DFL - вам Сергей Васильев поможет если вы пришлете ему схему..о чём он собственно и написал выше =)

Я написал, но пока ответа не получил, а надо срочно наладить связь ...

Позвонил в ДЛинк, сказали, что Сергей Васильева сегодня не будет.
М.б. кто-нибудь ещё из техподдержки сможет мне помочь настроить hub-and-spoke?

Есть ещё проблема:

В сети lan1 есть сервер 1С (работает в файловом режиме). После переноса клиента 1С в сеть lan2 (в офис 2) наблюдаем на этом клиенте жуткие тормоза.

В FAQ нашёл следующуу статью:
"Вопрос: Возникли проблемы при передаче больших файлов, доступе к почтовым и веб-серверам через туннель. Что это и как решить?" (http://www.dlink.ru/ru/faq/92/507.html)
Думаю, что наверное подходит под мой случай. Ответ заключается в изменении MTU.
В связи с этим есть вопросы:
1) уменьшаем MTU где?
- a) на клиенте 1С
- б) на сервере 1С
- в) и на клиенте и на сервере 1С
2) до какого значения MTU уменьшаем?

В настройках IPSec на вкладке "Маршрутизация" у меня указано (было по умолчанию):
Размеры пакета
- Незашифрованное MTU: 1420

М.б. лучше этот параметр увеличить?

Так может кто-нибудь помочь с настройками hub-and-spoke?
Сергей Васильев к сожалению пока не отвечает ...

как вы решили вопрос?
Не стал поднимать ветку, у меня сервер подключается по PPTP к роутеру DFL 800, настроен портмапинг с внешнего IP DFL 800 на IP подключенного PPTP сервера.
В логах выпадает ошибка указанная в первом посте.
Какое нужно правило или где поставить галочку?
P.S. к сведению когда сервер был во внутренней сети (за роутером), соответственно мапинг работал.

В моём случае - я нашёл на фтп-сервере Д-линк документ "Configure lan-to-lan tunnels between a main office and two remote offices" и сделал как там написано.
Ньюанс в том, что при создании тунеля надо указывать в качестве локальной и/или удаленной сети не одну сеть, а несколько (группу сетей).

Это всё работает для IPSec. Как быть с PPTP - я не знаю, по-моему в этом случае схема hub-and-spoke работать не будет.

Посмотрел, видимо не много другая ситуация.

Добрый день!

Напишу вопрос в данной теме, хотя ситуация иная.
Есть сайт: https://portal.mon.gov.ru:88/

Вроде бы ничего особенного в том, что HTTPS не на 443, а на 88.
Работает сайт без DFL нормально (успешно проходит соединение).

Через DFL-860e подключение не проходит.
В логах:
2017-06-15
13:50:40 Debug TCP_OPT
3400019 TCP lan
wan1 х.х.х.х
194.226.214.40 29117
88 mismatching_tcp_window_scale
adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1

2017-06-15
13:50:40 Debug TCP_OPT
3400019 TCP lan
wan1 х.х.х.х
194.226.214.40 17012
88 mismatching_tcp_window_scale
adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1

2017-06-15
13:50:40 Debug TCP_OPT
3400019 TCP lan
wan1 х.х.х.х
194.226.214.40 41964
88 mismatching_tcp_window_scale
adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1

2017-06-15
13:50:31 Debug CONN
600004 allow_standard TCP lan
wan1 192.168.1.28
194.226.214.40 56400
88 conn_open_natsat
conn=open connnewsrcip=141.0.182.157 connnewsrcport=29117 connnewdestip=194.226.214.40 connnewdestport=88

2017-06-15
13:50:31 Debug CONN
600004 allow_standard TCP lan
wan1 192.168.1.28
194.226.214.40 56397
88 conn_open_natsat
conn=open connnewsrcip=141.0.182.157 connnewsrcport=41964 connnewdestip=194.226.214.40 connnewdestport=88

2017-06-15
13:50:31 Debug CONN
600004 allow_standard TCP lan
wan1 192.168.1.28
194.226.214.40 56396
88 conn_open_natsat
conn=open connnewsrcip=х.х.х.х connnewsrcport=17012 connnewdestip=194.226.214.40 connnewdestport=88

Правило должно пропускать все соединения:
add IPRule Name=allow_standard Action=NAT SourceInterface=lan DestinationInterface=wan SourceNetwork=InterfaceAddresses/lannet DestinationNetwork=all-nets Service=all_tcpudp LogEnabled=False -silent -force

Нужна помощь: в чем проблема? Действительно может быть проблемы с подключением к HTTPS по нестандартному порту? Надо что-то еще настроить, чтобы все заработало?

НЕ НАДО писать в чужую тему. Если иная тема или иной топик-стартер - создавайте новую.

У меня DFL-210. Проверил правило выхода наружу для обоих сервисов: all_service и all_tcpudp.
NAT lan_all lan_nets wan_all all-nets all_services_n_trace

Всё ОК. Ткнул на вашу ссылку - сайт открылся!
Через DFL-800 с аналогичным правилом тоже нормально открывается.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.