1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 19:53

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
danilovav
СообщениеДобавлено: Вт апр 21, 2009 08:18 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Вчера задался вопросом коннекта извне в домашнюю сеть (в моем случае, а в общем - в сеть, которая находится за DFL). РРТР завестись нормально не завелся (у меня подозрения на то, что внутри офисной сети GRE как-то хитро замаршрутизирован), поэтому я настроил L2TP over IPsec (по инструкции ftp://ftp.dlink.ru/pub/FireWall/How%20t ... 0ipsec.ppt)

Кратко охарактеризую инструкцию - создается IPsec туннель в режиме транспорта, внутри него поднимается L2TP - DFL как шлюз и подключенный клиент находятся в выделенной подсети (в примере - 10.0.0.0/24), что позволяет нормально нарезать доступ удаленным клиентам. Добавлю, что по ней настроилось все абсолютно идентично и прекрасно заработало на прошивке 2.20.03 на DFL-210.

В решении стандартными средствами Windows все замечательно кроме одного - добавляется роутинг по умолчанию на созданное VPN подключение, что не есть приятно и правильно (ибо за этим VPN у нас находится всего одна сеть - заDFLная).

Исправляется это достаточно просто - на вкладке Networking в дополнительных настройках TCP/IP снимается галка "Use default gateway on remote network" - и в итоге мы с вами имеем поднятое VPN подключение с роутингом только на нашу 10ю VPN сеть. Далее - все чисто технически - добавляем роутинг на "заDFLную" сеть (192.168.1.0/24) - route add 192.168.1.0 mask 255.255.255.0 10.0.0.1 metric 1 if 0x40008, причем значение кода интерфейса берется из route print. Как вариант конечно можно добавлять persistent route, но в случае возвращения в сеть это будет не очень красиво.

Хотел бы поднять вопросы для обсуждения:

1. Почему Windows игнорирует публикуемые по ARP роуты (добавляю lan - все равно)

2. Есть ли способ получить код подключенного VPN интерфейса как-то кроме route print? Конечно, можно и им, поюзав grep, но это получается несколько некрасиво (ибо можно и 2 VPN сделать и там уже не определишь, какое наше).

3. Т.к. делалось это все под влиянием "красивостей" SSL VPN, то резонный вопрос - чем описанный способ подключения отличается от SSL? Ну разве что кроме удобности (пока)?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 21, 2009 09:54 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Добавлю проблему - при создании IPsec на DFL выполняется динамическое добавление маршрута на удаленную сеть в созданный IPsec - из-за этого становится невозможным с удаленного компьютера обращаться ко внешнему интерфейсу DFL. Мелочь, а неприятно...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 21, 2009 13:46 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
1. Какие ARP на PPTP и L2TP подключениях? Вы настраиваете ARP прокси на устройстве ждя того, чтоб ваш PPTP/L2TP pool мог совпадать с LAN.
2.Не совсем понимаю что вы хотите.
3.SSL VPN отличается давольно.Поднимается стандартный SSL тоннель, по котому передаются данные, это позвоняет ему пройти любой firewall если на открытом порту не висит анализ 7 уровня который режет весь криптованый трафик.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 21, 2009 13:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
danilovav писал(а):
Добавлю проблему - при создании IPsec на DFL выполняется динамическое добавление маршрута на удаленную сеть в созданный IPsec - из-за этого становится невозможным с удаленного компьютера обращаться ко внешнему интерфейсу DFL. Мелочь, а неприятно...


Это легко решается при помощи PBR. Мы создаем для WAN альтернативную таблицу маршрутизации а затем в PBR правиле указываем что при обращении к core wan_ip использовать для ответа эту таблицу маршрутизации.

Это не проблема, это особенности маршрутизации. Как в ызнаете маршрут на хост обрабатывается первым, а при установки IPSec в транспортном режиме у вас в любом случае появляется такой маршрут.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
belov-evgenii
СообщениеДобавлено: Вт апр 21, 2009 14:18 
Не в сети

Зарегистрирован: Пн сен 01, 2008 12:02
Сообщений: 114
danilovav писал(а):
Исправляется это достаточно просто - на вкладке Networking в дополнительных настройках TCP/IP снимается галка "Use default gateway on remote network" - и в итоге мы с вами имеем поднятое VPN подключение с роутингом только на нашу 10ю VPN сеть. Далее - все чисто технически - добавляем роутинг на "заDFLную" сеть (192.168.1.0/24) - route add 192.168.1.0 mask 255.255.255.0 10.0.0.1 metric 1 if 0x40008, причем значение кода интерфейса берется из route print. Как вариант конечно можно добавлять persistent route, но в случае возвращения в сеть это будет не очень красиво.
...
2. Есть ли способ получить код подключенного VPN интерфейса как-то кроме route print? Конечно, можно и им, поюзав grep, но это получается несколько некрасиво (ибо можно и 2 VPN сделать и там уже не определишь, какое наше).

Меня вот тоже это несколько теребит. Раньше сидел на Kerio, у него там свой какой-то VPN-сервер (вроде бы), и VPN-клиент сам после подключения добавлял нужные маршруты в сеть. Сейчас приходится юзать батник, который их прописывает, однако для этого нужны расширенные права на машине.
Код:
for /f "skip=3 tokens=2" %%a in ('netsh interface ip show address "VPN"') do route add 192.168.2.0 mask 255.255.255.0 %%a
for /f "skip=3 tokens=2" %%a in ('netsh interface ip show address "VPN"') do route add 192.168.0.0 mask 255.255.255.0 %%a
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 21, 2009 15:09 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Сергей, ваше участие очень полезно :)

1. В L2TP over IPsec используется IP pool, отличный от lannet. Я с этим решением абсолютно согласен т.к. оно позволяет очень четко нарезать "внешним" клиентам физические права доступа.

2. Примерно это написал Евгений. Только я для этого практически дописал программу, которая сама создает VPN подключение, соединяет его и вешает на него маршруты. Позже я ее выложу.

3. Эхх, ждем SSL VPN :))

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 545

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB