D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

8 vpn сетей

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 14 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

urix19

Заголовок сообщения: 8 vpn сетей

Добавлено: Вт июн 29, 2010 12:41

Зарегистрирован: Чт май 20, 2010 02:30
Сообщений: 11

Здравствуйте.

Подскажите пожалуйста решаемо ли это?

Есть железка dfl-210. На ней 8 групп пользователей. На внешнем интерфейсе посредством vpnов хочу сделать так, чтобы пользователи каждой группы оказывались в "своей" сети. В любой момент времени в каждой сети может быть от 0 до 5 пользователей.
Эти сети не должны видеть друг друга.

Согасно этого faq
http://www.dlink.ru/ru/faq/85/479.html
Я так понимаю прийдется создавать 8 серверов?
Или есть какой другой способ?

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Вт июн 29, 2010 12:50

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

8 серверов на одном интерфейсе не получится. Однако, вы можете назначать пользователям статические адреса, группировать и делать только необходимую видимость между клиентами.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

urix19

Заголовок сообщения:

Добавлено: Вт июн 29, 2010 16:17

Зарегистрирован: Чт май 20, 2010 02:30
Сообщений: 11

Спасибо за ответ

Вернуться наверх

urix19

Заголовок сообщения:

Добавлено: Чт июл 01, 2010 23:30

Зарегистрирован: Чт май 20, 2010 02:30
Сообщений: 11

Настраивал это все "на столе"

192.168.0.125 - wan
192.168.0.0/24 - wan_net (или как оно называется?

)
192.168.0.200 - wan_gw

192.168.0.20 - клиент_1
192.168.0.21 - клиент_2
192.168.1.21 - клиент_3

Если коннектится клиент_1 и клиент_2 все хорошо.
Но если коннектится клиент_3 то получаю вот такую вот "картину"

Правило всего одно.
Как я думаю разрешающее все (это пока что временно для проверки возможностей).

Или я не правильно думаю

Так же пробовал на FreeBSD на натд "пробросить" порт 1723 в мир. Ничего не получилось. Извне железка не видна.

Что я не понимаю/делаю не так?

И если поставить "в мир" напрямую, без маршрутизаторов и всего прочего, будут ли такие же проблемы (просто в данном случае получилось что клиент_3 это совсем другая сеть)?

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Пт июл 02, 2010 06:09

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

На момент подключения клиента №3, покажите Status > Routes.

А для публикации через шлюз (ваша фряха) надо кроме контролирующего порта 1723 еще и GRE пропускать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

urix19

Заголовок сообщения:

Добавлено: Пт июл 02, 2010 09:54

Зарегистрирован: Чт май 20, 2010 02:30
Сообщений: 11

Спасибо. Понял ошибку.
Был настроен еще и PPPoE. Забыл за него совсем. Снес. Все пошло как надо

А касательно фряхи не подскажете на счет правил?
Не секурно но это всеравно временно - доказать что девайс справится

ipfw add 149 allow gre from any to any
ipfw add 149 divert natd gre from any to any
ipfw add 149 allow all from any to any

а в натд.конф
redirect_proto gre 192.168.0.125
redirect_port tcp 192.168.0.125:1723 1723

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Пт июл 02, 2010 09:56

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Не подскажу, не использую. Если у вас чисто тестовое использование, то выставьте DFL временно наружу.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

urix19

Заголовок сообщения:

Добавлено: Пт июл 02, 2010 11:41

Зарегистрирован: Чт май 20, 2010 02:30
Сообщений: 11

Таки прокинул это все дело наружу.
Не могу выставить в мир по причине того что там где она будет стоять организованно почти так же... Почему? Я не знаю.

Еще 1 проблемка.
У человека из мира законектившегося на железку меняется дефолтный машрут.
Подскажите пожалуйста где это отключить?

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Пт июл 02, 2010 12:33

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Снимите галку "использовать удаленный шлюз" в параметрах клиента

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

urix19

Заголовок сообщения:

Добавлено: Пт июл 02, 2010 20:09

Зарегистрирован: Чт май 20, 2010 02:30
Сообщений: 11

Повесил все это дело в интернет.
Все хорошо. Пользователи логинятся. Но друг друга не видят вообще.
"галку" снял. Но в таком случае я и с железки пропинговать ни одного клиента не могу. Шлюза то у них нет. Или я что то не так понимаю.
Пользователям первой сети выдаются адреса вида 129.168.100.ххх/32
второй 129.168.102.ххх/32
третьей 129.168.103.ххх/32

В принципе на половину готово (Пользователи разных сетей не видят друг друга.)

Подскажите пожалуйста, что можно сделать в данной ситуации (чтоб пользователи одной сети таки друг друга увидели)?

Можно ли как то автоматом добавить маршрут пользователю не меняя маршрут по умолчанию (со снятой "галкой")?

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Пт июл 02, 2010 22:53

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Точно ли адреса (по маске) /32? Если я не ошибаюсь, route print показывает маску /24

Выдавать маршруты для РРТР клиентов нельзя, но можно использовать клиентский скрипт подключения, который добавит необходимые маршруты.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

urix19

Заголовок сообщения:

Добавлено: Сб июл 03, 2010 02:18

Зарегистрирован: Чт май 20, 2010 02:30
Сообщений: 11

danilovav писал(а):

Точно ли адреса (по маске) /32? Если я не ошибаюсь, route print показывает маску /24

Точно /32
route print

ipconfig /all

Может я чтото не так делаю?
1. Завел IPы в "адресную книгу" (ip1 - ..100.100 ip2 - ..100.200 ...)
2. Далее в локальной базе создаю пользователя и назначаю ему сотвествующий IP№
3. Networks behind user (none)
4. Metric for networks 100
Вроде все.
А есть возможность сделать /24?

danilovav писал(а):

Выдавать маршруты для РРТР клиентов нельзя, но можно использовать клиентский скрипт подключения, который добавит необходимые маршруты.

К сожалению вариант не приемлем ;(

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Сб июл 03, 2010 09:55

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Я поэкспериментировал с РРТР сервером - у меня всегда добавляется маршрут для маски /24

Код:

C:\Documents and Settings\Alexandr Danilov>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 13 77 67 b4 98 ...... Generic Marvell Yukon Chipset based Ethernet Con
troller #2 - Teefer2 Miniport
0x4 ...00 ff ea 9e e0 c6 ...... TAP-Win32 Adapter V9 - Teefer2 Miniport
0x20003 ...00 16 ea 04 ac ce ...... Intel(R) WiFi Link 5100 AGN - Teefer2 Minipo
rt
0x90006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.10.1  192.168.10.101       10
          1.1.1.1  255.255.255.255     192.168.10.1  192.168.10.101       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
     192.168.10.0    255.255.255.0   192.168.10.101  192.168.10.101       10
   192.168.10.101  255.255.255.255        127.0.0.1       127.0.0.1       10
   192.168.10.255  255.255.255.255   192.168.10.101  192.168.10.101       10
    192.168.210.0    255.255.255.0  192.168.210.210  192.168.210.210      1
  192.168.210.210  255.255.255.255        127.0.0.1       127.0.0.1       50
  192.168.210.255  255.255.255.255  192.168.210.210  192.168.210.210      50
        224.0.0.0        240.0.0.0   192.168.10.101  192.168.10.101       10
        224.0.0.0        240.0.0.0  192.168.210.210  192.168.210.210      50
  255.255.255.255  255.255.255.255   192.168.10.101  192.168.10.101       1
  255.255.255.255  255.255.255.255  192.168.210.210               2       1
  255.255.255.255  255.255.255.255  192.168.210.210  192.168.210.210      1
  255.255.255.255  255.255.255.255  192.168.210.210               4       1
Default Gateway:      192.168.10.1
===========================================================================
Persistent Routes:
  None

Поэтому в первую очередь проверьте вашего клиента.
Во вторую - покажите ваши параметры РРТР сервера, включая адресацию в пуле и адрес сервера.
В третьих, если ничего не помогает, давайте всем клиентам статические адреса в маске /24, жестко делите их на группы и делайте правила не на основании подсетей, а на основании групп
PS Для юзера кроме статического адреса заполнять ничего не надо

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

urix19

Заголовок сообщения:

Добавлено: Сб июл 03, 2010 16:36

Зарегистрирован: Чт май 20, 2010 02:30
Сообщений: 11

danilovav писал(а):

Я поэкспериментировал с РРТР сервером - у меня всегда добавляется маршрут для маски /24
Поэтому в первую очередь проверьте вашего клиента.

Конектился с других ОСей. Точно такая же ситуация.
Дело может быть в версии прошивки?

danilovav писал(а):

Во вторую - покажите ваши параметры РРТР сервера, включая адресацию в пуле и адрес сервера.

Код:

Name      Tunnel protocol   Inner IP address   Outer interface      IP pool      Use user authentication rules      Comments 
pptp_serveer   PPTP       lan_ip             wan                 pptp_ippool    Yes     

pptp_ippool     192.168.100.200-192.168.100.240
lan_ip     192.168.100.10

Физически в лан кабелек должен быть воткнут (или не обязательно)?

danilovav писал(а):

В третьих, если ничего не помогает, давайте всем клиентам статические адреса в маске /24, жестко делите их на группы и делайте правила не на основании подсетей, а на основании групп

А как они попадут на железку то?
"Использвать шлюз удаленной сети" отключен по причине того что он меняет дефолтный маршрут.

danilovav писал(а):

PS Для юзера кроме статического адреса заполнять ничего не надо

Да. Больше ничего не заполнял.

Я что то совсем... видимо ничего не понимаю.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 14 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 268

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения