Вопрос по настройке DI-LB604.
Где и что я должен указать или разрешить в настройках маршрутизатора (файервола), чтобы Cisco-VPN клиент на любом хосте внутри моей LAN мог соединиться с удаленным VPN-сервером, т.е. создать VPN-cоединение с другой внешней сетью?
Сейчас такое соединение не устанавливается. При прямом коннекте хоста в инет (без DI-LB604) это VPN-сединение устанавливается без каких-либо проблем.

Что за клиент установлен у пользователей? Какой протокол используете?

Мда...
2Alexandr Zaitsev
Чегой-то я не пойму молчания сотрудников DLink на вопрос по настройке, не описанный напрямую в штатной документации производителя.

Может, я вопрос задал не полно или не корректно? Так могу уточнить что нужно...
Или эта тема уже постилась? Так среди найденных тем в "Маршрутизаторы и Firewall" по ключу LB604 я ничего подобного не нашел.
Или решение слишком нетривиальное для данного устройства DI-LB604 ?
Или эта функциональность не поддерживается этим устройством (что было бы вообще не понятно)?

Пожалуйста, скажите кто-нить че-нить по теме.

ВПН-Клиент: Cisco System VPN Client Version 4.0.1 (Rel).
Протокол: (если я правильно понимаю - из настроек соединения):
"Transport/
Enable transparent tunneling/
IPsec over UDP (NAT / PAT)"

Если я правильно всё понимаю, то Вы используете клиента через NAT-T(Nat Traversal) где чере устройство ходит не ESP протокол, а UDP-4500. Устройство свободно транслирует этот порт, никаких дополнительных настроек или проблем с ним не было.
Только одно замечание, IPSec не будет работать с разных каналов и если у Вас настроен LoadBalansing, то Вам нужно привязать UDP500 и UDP4500 к одному из интерфейсов.
И ещё одно замечаение, что при использовании NAT-T активное устройство(к которому Вы подключаетесь) должно знать о протоколе NAT-T и о том, что соединения принимаются с любого IP, а идентификация проходить _только_ по PSK(pre-shared key)/Cert

2 Stanislav Kozlov
Если честно - то не оч. понял: необходимости изучать мат.часть ВПН (а тем более ВПН клиента) не было, потому, что многократно установленный на разных локальных хостах с одинаковыми настройками клиент успешно работал и работает ч\з разные маршрутизаторы (хост с Win2K AS w/AD с NAT, ASUS DWL-500 P+ с NAT и фильтрами).


На сколько я понял, по дефолту устройство свободно транслирует все порты.


LoadBalansing не настроен. WAN1 - настроен на статич. IP , WAN2 - disable.


Если устройство - это удаленный VPN-сервер, то конечно оно знает о типе подключения, т.к. установки для Cisco System VPN Client были даны администратором этого VPN-сервера и, как я говорил выше, работают более 2 лет.


ВОПРОС:
Каким образом я должен сконфигурировать маршрутизатор DI-LB604, работающий в режиме одного внешнего WAN канала, чтобы создать VPN соединение клиентом Cisco System VPN Client в режиме IPsec over UDP (NAT / PAT), который использует порты


*из http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/products_qanda_item09186a0080094cf4.shtml;


*из http://www.usit.uio.no/it/wlan/english/ciscolinux.html

??
===================
С уважением, БД.

Как я уже говорил ранее, никаких дополнительных настроек для работы IPSec клиента в режиме NAT-T не нужно.
Если Вы не уверены, что клиент работает по NAT-T, тогда Вам нужно убедится что на устройстве активирована функция IPSec Passhrough, которая обеспечивает трансляцию ESP протокола.
Посмотрите логи на cisco я думаю, что масса вопросов отпадёт.

2 Stanislav Kozlov
Как я уже говорил ранее

Обращаю внимание на выделенный текст.



О какой cisco Вы говорите !?
Cisco System VPN Client Version 4.0.1 (Rel). - это ПРИЛОЖЕНИЕ (ПО), проинсталлированое на произвольном хосте с операционной системой WinXP Home SP2 (в общем случае).

Повторяю (поясняю) конфигурацию.
1. Есть хост (ноутбук) с операционной системой WinXP Home SP2, на котором БЫЛ проинсталлирован VPN-клиент Cisco System VPN Client Version 4.0.1 (Rel). Этот хост находился в одноранговой LAN c доступом в интернет ч\з маршрутизатор ASUS DWL-500 P+. VPN клиент был сконфигурирован на соединение с определенной удаленной сетью ч/з определенный удаленный VPN-сервер по указаниям администратора VPN-сервера. Такое соединение устойчиво проработало более 2 лет.

2. По производственной необходимости, в другом здании быловыполнено подключение в интенет ч\з другого провайдера с хоста (ноутбука). Был на нем запущен VPN клиент и активировано VPN соединение с вышеупомянутой сетью по неизмененным параметрам клиента. Соединение функционировало нормально.

3. После проверки VPN соединения была развернута одноранговая LAN c доступом в интернет ч\з маршрутизатор DLink DI-LB604. Проверен выход в инет для хостов LAN (WEB, ICQ, SMTP...), Доступ корректный.
При попытке создать VPN соединение - оно не создалось (без каких-либо изменений в настройках клиента)ю

ВЫвод - маршрутизатор DLink DI-LB604 заблокировал доступ.
ВОПРОС: как его настроить для коррктной работы VPN-соединения?

ОТВЕТ: Маршрутизатор не нуждается в настройках, так как по умолчанию пропускает NAT-T пакеты. Для работы ESP нужно активировать IPSec passthrough.
Если у Вас есть какие-то вопросы по работе устройства, обратитесь в наш киевский офис. Думаю, что поговорив голосом, Вы решите проблему более оперативно.
http://www.dlink.ru/feedback/index.php

addon: теста именно с cisco vpn client не проводилось, в виду его отсутсвия. Мы тестировали устройство с использованием DS-601
Можно запросить тест у ШтабКвартиры, но это займет некоторое время.