При подключении через веб, мастер настройки не запустился, как запустить его вручную я не нашел, поэтому настраиваю без мастера.

Прошивка 2.27.03.25-14780 Nov 9 2010

Пока нужна простая конфигурация, 1 wan порт со статическим адресом + DMZ порт к которому подключен почтовик и иса2006, за которым живет локалка.

Как установить статический адрес на wan1 порт, прописать шлюз, днс и маску сети я разобрался. Но не нашел как отключить порт wan2.

Дальше взялся за порт DMZ, но так и не понял как на него прописать больше 1 адреса и как на этих адресах открыть только те порты, которые мне нужны?

Вариант проброски портов или трансляция адресов с wan1 в lan не годится по ряду причин, одна из них - оба сервака крутятся на виртуалках на одном железе, соответственно внешний и внутренний порты у них общие, а иса2006 очень хочет иметь внешний адрес потому как он и сам брандмауэр, морочиться с установкой еще одной сетевухи и разведением виртуалок не охота, т.к. в данном случае не вижу ничего плохого в том, чтобы вывести эти сервера в инет через DMZ, но на вход хотелось бы закрыть все кроме SMTP, ну может еще POP3, а за выходом пользователей последит иса2006.

Еще я так понял VLAN на локальных портах реализуется на логическом уровне, т.е. разбивкой по IP подсетям, а не физически на уровне самих портов?

У вас есть белая подсеть для выдачи в DMZ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

У меня подсеть вида ХХХ.ХХХ.ХХХ.208/28 , т.е. 16-3 белых адресов. 2 ушли на указанные сервера, 1 на wan1 еще 3 задействованы под другие задачи вне зоны ответственности dfl-800, остальные пока свободны.

Если хотите использовать провайдерский шлюз, включите transparent mode
Если одного еще адреса не жалко под dmz_ip, то выделите меньшую подсеть (/29) для dmz_net и включите ARP proxy
Правила в обоих случаях Allow по нужным (разрешенным) портам

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Т.е., если на интерфейсе DMZ включить галку transparent mode, то на этот интерфейс можно даже адрес не прописывать со шлюзами и масками оставив 0.0.0.0 по умолчанию и 2 моих сервака начнут светить в инет?

Правила писать на интерфейс или по конкретным белым IP?

Правила - allow wan/all-nets dmz/all-nets allowed_services, ну и наоборот
Галку transparent mode надо включить и для wan, и для dmz

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

если я правильно понял, то получится мост между wan1 и dmz с набором правил прохода от wan1 к dmz и от dmz к wan1 ?

дальше мне надо будет поднять PPTP сервер на внешнем порту c проходом на lan порты, по идее я могу использовать для этого wan2 ?

если так, то получается вполне красивая конфигурация - wan1 - dmz для выхода в инет и wan2 - lan для vpn-тонеля в локалку

кстати, dfl-800 в режиме transparent mode обеспечивает какую-либо защиту, кроме того, что я пропишу в правилах ?

и еще про VLAN спрошу...

В конторе 3 сетки - дирекция, бухгалтерия и офис в сумме 30-35 компов, эти сети надо изолировать друг от друга, но сделать им общий почтовому серверу и иса-серверу

получится это реализовать на lan портах dfl-800 так, чтобы 4 из 7 портов были общими + по 1 порту изолированному друг от друга порту на каждую из 3 подсетей?

или все же лучше поставить коммутатор с поддержкой разбиения портов на VLAN ?

>если я правильно понял, то получится мост между wan1 и dmz с набором правил прохода от wan1 к dmz и от dmz к wan1 ?
Да

>дальше мне надо будет поднять PPTP сервер на внешнем порту c проходом на lan порты, по идее я могу использовать для этого wan2 ?
Можно wan2, но и на wan1 вполне себе поднимется

>кстати, dfl-800 в режиме transparent mode обеспечивает какую-либо защиту, кроме того, что я пропишу в правилах ?
Принципиально все то же, просто DFL становится "невидим"

>и еще про VLAN спрошу...
Надо коммутатор

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Здравствуйте. Извиняюсь, что мой вопрос несколько не по теме, но чтобы не создавать отдельной темы, спрошу здесь. Оговорюсь сразу, что я не специалист по сетевым технологиям. Вопрос такой, на dfl-800 есть 7 lan портов с одним общим ip адресом. Можно ли на каждый из этих портов назначить отдельные vlan'ы, чтобы затем уже каждому из них назначить свой ip адрес? Если имеется такая возможность, как примерно реализуется ? Заранее спасибо.

Похоже, что lan порты на dfl-800 не конфигурируются в принципе.

Насколько я понял, на lan портах можно создать несколько IP подсетей, которые будут принадлежать всем 7 портам. Скорее всего потом можно будет задать правила маршрутизации и доступа между этими сетями, но разделение это логическое, т.к. если поменять IP на компе, то этот комп легко переместится в другой логический VLAN.

Можно заблокировать возможность изменять IP адреса на компах если они прописаны статически, для этого есть разные программные средства или на DHCP сервере сделать привязку IP адресов к МАС адресам, запретив доступ всем другим IP кроме раздаваемых по DHCP, не уверен но по идее dhcp-сервер dfl-800 такое должен уметь.

Или как вариант, в пару к dfl-800 поставить коммутатор с аппаратной поддержкой VLAN.

доступ через DMZ на WAN1 через transparent mode настроил, но есть 1 проблема...

в правилах прописал доступ к веб-серверу, расположенному в DMZ, следующим образом:

Правила: действие - allow, сервис - http, источник - wan/all-nets, назначение - dmz/all-nets

Из инета доступ к этому серверу есть, из локалки через иса2006 из того же DMZ тоже без проблем, а вот если в тотже хаб куда подключен WAN1 подключить комп с адресом из подсети которой принадлежит WAN1, то в логах получаю такую ошибку - mismatching_tcp_window_scaleadjust и на веб сервер меня не пускает

какое надо прописать правило, чтобы пропускался трафик на DMZ из тойже подсети, что и WAN1 ?

также настроил PPTP сервер по этой инструкции - http://www.dlink.ru/ru/faq/85/479.html
единственное, в свойствах пользователя привязал к нему IP адрес и в свойствах сервера прописал внутренние DNS

соединение проходит влет, но есть одна проблема - по умолчание впн-клиент ставит шлюзом свой собственный полученный IP адрес маску 255.255.255.255, а я хочу назначить ему другой шлюз и маску 255.255.255.0, только в настройках dfl-800 не нашел где это прописывается

подскажите как назначить шлюз и маску впн-клиенту?

Еще хотелось бы задать фильтр по IP адресам, с которых можно подключаться к PPTP-серверу

>если в тотже хаб куда подключен WAN1 подключить комп с адресом из подсети которой принадлежит WAN1, то в логах получаю такую ошибку - mismatching_tcp_window_scaleadjust и на веб сервер меня не пускает
Вы со стороны DMZ указали какую-то подсеть?
Какие метрики на dmz/dmznet и wan/wannet?

>подскажите как назначить шлюз и маску впн-клиенту?
Так нельзя. В виндовом клиенте можно снять галку использования удаленного шлюза, тогда на клиенте как раз будет доступ только в подсеть по маске 255.255.255.0
Дальше маршруты добавляйте руками/скриптом

>Еще хотелось бы задать фильтр по IP адресам, с которых можно подключаться к PPTP-серверу
Делается в user auth rule - originator IP

>Вопрос такой, на dfl-800 есть 7 lan портов с одним общим ip адресом. Можно ли на каждый из этих портов назначить отдельные vlan'ы, чтобы затем уже каждому из них назначить свой ip адрес?
На DFL-800/860 - нет, надо дополнительный управляемый свитч. Можно на новой модели DFL-860E (и DFL-260E)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вы со стороны DMZ указали какую-то подсеть?
Какие метрики на dmz/dmznet и wan/wannet?
-------------------------------------------------------------
dmznet совпадает с wannet, видимо в этом проблема, метрики не помню, завтра гляну


>подскажите как назначить шлюз и маску впн-клиенту?
Так нельзя. В виндовом клиенте можно снять галку использования удаленного шлюза, тогда на клиенте как раз будет доступ только в подсеть по маске 255.255.255.0
Дальше маршруты добавляйте руками/скриптом
---------------------------------------------------------------------
для опытов я на компе поставил внешний адрес с внешним шлюзом и маской 255.255.255.240, после подключения впн я на этом компе получаю еще одно соединение с адресом 192.168.0.201 маской 255.255.255.255 и шлюзом 192.168.0.201

добавляю маршрут - route add 0.0.0.0 mask 0.0.0.0 192.168.0.1 (внутренний адрес isa2006) и получаю ответ - либо индекс интерфейса указан неверно, либо шлюз не лежит в той же подсети, что и данный интерфейс, как вариант могу попробовать указать индекс интерфейса в лоб, посмотрев его через route print, но не уверен, что это сработает

если снимаю галку использования удаленного шлюза, то при подключении значение шлюза отсутствует, но маршрут все равно не добавляется

РРТР юзера на ису вашу надо заворачивать на DFL
Для клиента РРР туннель - данность, другого шлюза через него не может быть

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

pptp клиентов разворачивать на иса2006 средствами dfl было бы лучше всего, только вот где и какой маршрут писать на dfl чтобы это сделать?

в настройках PPTP сервера нашел закладку "Добавить маршрут" но не пойму как через нее прописать маршрут на isa2006

пробовал добавить статический маршрут от pptp_server на all_net через isa_lan_ip (в адресной прописал его как 192.168.0.1), но эфекта ноль

---------------------------------------------------------
с настройкой доступа к pptp серверу разобрался, создал в адресной книге ip адреса клиентов, потом объеденил их в группу и прописал эту группу в user auth rule - originator IP, еще поставил ограничение, что на пользователя разрешить только 1 логин

и с доступом из сети wan1net в сеть dmznet тоже разобрался, проблема была в том, что dmznet была прописана неправильно, после того как dmznet прописал такую же как и wan1net все заработало