Схема подключения в подписи. На DFL поднят L2TP-клиент - подключение к Билайну. Есть задумка поднять на Микротике, который стоит за DFL'ом, L2TP-сервер для подключения к домашней локалке из Интернета. На сколько реально осуществить проброс L2TP до Микротика при уже поднятом L2TP-клиенте на DFL, т.к. получается, что порт 1701 уже занят DFL'ом? Или в данном случае придётся использовать кокой-либо другой PPP-протокол?

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

Порт 1701 занят клиентом на физ. интерфейсе, на РРР же интерфейсе он свободен.
К тому же, кто вам мешает использовать РРТР для соединения с билайном?
Да, и кстати, DFL отлично умеет PPTP/L2TP сервера.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Упс , вот это я упустил из виду. Т.е., в целом, проблем и конфликтов быть не должно. Спасибо.

У меня по L2TP коннект стабильнее.

Я в этом не сомневаюсь, у него, вроде даже, и шифрование аппаратное имеется. Но локальные машины у меня находятся непосредственно за Микротиком, на котором ещё настроен шейпер и QoS, поэтому, мне кажется, что лучше будет сервер поднять именно на Микротике.

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

А мне кажется, что лучше настроить на DFL сервер. Потому что на Микротике еще придется выпендриваться с настройкой MTU/MSS. А так устройства уже будут получать правильные параметры для пакетов от DFL, ибо там по умолчанию все уже правильно сделано.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

А вот мне кажется, что, исходя из того, что VPN-клиенту предполагается выдавать IP из диапазона той же подсети, в которой находятся локальные машины за Микротиком, будет куда больше последующего геморроя с маршрутизацией и настройкой шейпера, т.к. получится, что "куски" одной и той же подсети окажутся за разными интерфейсами Микротика: один за условным WAN, второй за LAN.

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

А в исходном задании подобного требования одинаковой локалки не было Не знаю, зачем два дублирующих функциональность устройства, Вам виднее. Но тогда да, лучше все закрутить на одной железке. Но если туннель будет шифрованный, то Микротик сдохнет на очень маленьком трафике. Но если канал в пару мегабит, то потянет и шейпер, и все остальное.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

В исходном задании был нубский вопрос про проброс L2TP-туннеля.

На Микротике куда более внятный и функциональный шейпер, при этом через штатный GUI в виде утилиты Winbox состояние шейпера (да и практически всех остальных функций) можно отслеживать в режиме реального времени - DFL нервно курит в уголке в этом плане со своим статическим веб-интерфейсом. В своё время, если помните, я свой асимметричный канал с шейпером DFL'а подружить не смог, Микротик изначально брался именно для организации шейпинга и QoS, плюс имеются плюшки, которых у DFL нет и не будет. Ещё один нюанс - при отсутствии NAT (за который у меня отвечает DFL, а на Микротике его нет) гибкость шейпера выше, чем при его наличии. В конце-концов за DFL уже уплочено - пускай отрабатывает .

L2TP преполагается попробовать заюзать в паре с IPSec. Канал у меня и так не шибко жирный: 8/4 Mbps днём и 16/4 ночью. Но реально туннель будет ограничен каналом удалённого клиетна, а это скорее всего будет какой-нибудь 3G-модем одного из трёх основных ОпСоС'ов, а там не разгонишься пока.

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

Я тоже хотел купить Микротик (750-й) месяца 3 назад вместо DFL-800. Вроде все отлично. Но две вещи заставили отказаться - невозможность соединения по доменному имени и маленькая скорость при шифровании. Да, знаю, что для первого на форуме скрипт какой-то, но это все нестабильно. А вот со скоростью сложнее.

p.s.Статистика и онлайн счетчики трафика на правила там действительно шикарны.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Даже если речь идёт о RB750G (а не просто о RB750), то, ИМХО, сомнительная замена для DFL-800 - у него оперативы всего 32 MB, что очень критично для некоторых операций - того же шейпинга, например.

Есть какие-нибудь тесты/обсужения - ссылками не поделитесь? Самого заинтересовал этот вопрос, но чего-то пока ничего внятного по теме скорости шифрованного VPN'а на роутербордах не нашёл.

P.S. Нарыл более-менее свежий тест на стенде: IPSec между двумя RB750G в 5 потоков:
http://forum.ixbt.com/topic.cgi?id=14:51483:761#761
Исходя из того, что у моей RB450G проц тот же самый, то результаты можно скоррелировать и на неё, но точно не хуже. ИМХО, мне для домашнего использования вполне хватит.

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

Я где-то в той же теме видел просто сухие цифры, что-то около 10-12. Но это уже с учетом фаера, шейпинга и правил. А с учетом Билайна и того, что IPSec в туннеле пойдет, то вообще меньше 10 будет. Мне маловато столько. А под замену хотел туда, где просто Инет и туннель ко мне.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)