Здравствуйте!

Прошу совета, возможно ли одновременно подключаться к встроенному в DFL-210 vpn-серверу через двух разных интернет-провайдеров, подключенных через разъемы WAN и DMZ. Если возможно, то каков общий метод? Если есть ресурсы, на которых это описано, дайте, пожалуйста, ссылку.

Понятно, что с помощью дополнительного коммутатора перед DFL-210 можно хоть семь провайдеров одновременно. Оставляю это решение на случай, когда других методов не окажется.

На DFL-210 настроен и успешно работает l2tp vpn сервер. Работает, естественно, через wan-порт. Но интернет глючит, поэтому появился второй интернет, работающий пока через роутер попроще, DI-634M. А хочется завести его в разъем DMZ, и чтобы через DMZ тоже можно было подключаться к встроенному в DFL-210 l2tp vpn серверу.

Воткнул провод в DMZ разъем - второй провайдер присвоил ip, gw, dns1, dns2. На этом мои успехи закончились.

1. Пробовал модифицировать настройки работающего l2tp vpn сервера - вместо ip4-адреса wan_ip использовать ip4-группу из wan_ip и dmz_ip. Результат - в журнале DFL-210 ни строчки.

2. Пробовал создать второй сервер - копию работающего, созданием копий всех настроек, естественно, c заменой wan_ip на dmz_ip, wan_pool на dmz_pool и т.д. Второй пул lan-адресов, второй ipsec-транспорт, второй l2tp-сервер, вторую пару разрешающих правил, второе правило аутентификации. Результат - в журнале DFL-210 ни строчки.

Перебирать методы - дело тухлое, так как в каждом много настроек, где можно ошибиться. Поэтому прошу совета насчет общего метода, прежде чем разбираться в его деталях.

PS
l2tp vpn сервер настраивал по статье на ixbt.com: http://www.ixbt.com/comm/firewall-dlink-dfl-210_3.shtml. Автор статьи ссылается на бумажный мануал, который идет в комплекте с самим DFL-210. На ftp.dlink.ru не нашел.

Мануал есть - http://ftp.dlink.ru/pub/FireWall/DFL-210/Description/

Вы правильно начали - настраиваете DMZ как второй WAN, делаете второй VPN сервер
Далее, в параметрах DMZ вы убираете создание default route или делаете основной канал (WAN) с мониторингом, а второй (DMZ) - без, но менее приоритетным. Все по FAQ http://dlink.ru/ru/faq/85/576.html

Чтобы оба VPN сервера работали одновременно, вам надо обрабатывать входящие из DMZ через альтернативную таблицу
Делается это так
1) Routing > Routing tables
Добавляете таблицу alt_dmz
Добавляете в нее маршрут dmz all-nets dmz_gw 100
2) Routing > Routing rules
dmz/all-nets any/all-nets, forward main, return alt_dmz

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Значил, правильный метод - поднимать два vpn-сервера.
Попробовал по указаниям danilovav попробовал настроить второй l2tp-сервер, на интерфейсе DMZ - не получилось, и опять ни слова в журнале.

Тогда радикально упростил задачу - поднять всего один vpn-сервер, да и тот попроще - pptp, но на интерфейсе DMZ.
Есть мануал для интерфейса wan - http://www.dlink.ru/ru/faq/85/479.html.
Для самоконтроля настроил по нему pptp-сервер на интерфейсе wan - работает.
Меняю wan на dmz, wan_ip на dmz_ip - не работает. В журнале появляются сообщения
=======
2011-05-17
21:44:21 Предупреждение RULE
6000051 Default_Access_Rule TCP dmz
<ip адрес откуда подключаюсь>
<dmz_ip от провайдера> 15267
1723 ruleset_drop_packet
drop
ipdatalen=28 tcphdrlen=28 syn=1

=========
Не хватает какого-то правила. Где и какого - не пойму

Я же написан, вам нужна альтернативная таблица маршрутизации + PBR

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сразу не получилось, поэтому взял паузу. В субботу спокойно настроил по мануалу с процитированным добавлением, и ppp-сервер на dmz-интерфейсе заработал.

Вернулся к задаче поднять таки l2tp-сервер на dmz. Завел настройки по аналогии с интерфейсом wan.
Проверил настройки, а они идут парами - для wan и dmz интерфейсов - вроде бы соответствуют друг другу.
Не заработал. На wan работает, а на dmz - нет.

Вопрос - это мой косяк, или процитированной добавки к мануалу недостаточно?

Под L2TP over IPsec есть FAQ на фтп
Покажите скринами что именно настроили

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Мобилизовать трех провайдеров возможно только в выходные.

Настроены три vpn-сервера. Из них работают (используются ежедневно) l2tp на интерфейсе wan и ppp на интерфейсе dmz.
Не работает l2tp на интерфейсе dmz. Когда заработает, ppp отключу.

Хотя l2tp сервер на dmz по-прежнему не работает, остаются следы в журнале и перечне соединений.
Снял информацию с Сервис-->Ведение журнала и Сервис-->Соединения.
Красиво, в картинках, как в мануалах, зафиксировать скрины не сумел.
Скопировал все в файл Excel: http://narod.ru/disk/14395628001/l2tp-d ... m.xls.html

l2tp сервера настроены по мануалу с сайта ixbt.com: http://www.ixbt.com/comm/firewall-dlink-dfl-210_3.shtml.
Основные настройки l2tp сервера на dmz скопированы в вышеуказанный файл.
От мануала на ftp.dlink.ru настройки отличаются мелкими деталями.

pptp сервер настроен отсюда: http://www.dlink.ru/ru/faq/85/479.html.
Также настроены альтернативная таблица и маршрут (см. цитату в моем предыдущем посте), за счет которых ppp сервер работает на dmz.

То есть l2tp ipsec сервер на интерфейсе dmz так и не работает.
Причем до проверки pre-share key дело не доходит - проверил подстановкой неправильного PSK.
Устанавливается соединение по порту 500.
…………………………………………………………………………………………………………………………………………………………….
28.05.2011 Информация CONN IPsecBeforeRules UDP dmz 83.83.83.83 500 conn_open
10:53:19 600001 core 77.77.77.77 500
conn=open
..................................................................................................................................................................
Дальше примерно 1 минуту все молчит.
Затем на стороне клиента сообщение от windows 7 о невозможности установить соединение, а в журнале dfl-210 три сообщения:

28.05.2011 Информация IPSEC ike_sa_destroyed
10:54:19 1802708 ike_sa_killed
ike_sa=" Initiator SPI ESP=0x19789f4a, AH=0xfe1774d0, IPComp=0x2b2752a"
28.05.2011 Предупреждение IPSEC ike_sa_failed
10:54:19 1802022 no_ike_sa
statusmsg="Timeout" local_peer="77.77.77.77 ID No Id" remote_peer="83.83.83.83 ID No Id" initiator_spi="ESP=0x19789f4a, AH=0xfe1774d0, IPComp=0x2b2752a8"
28.05.2011 Предупреждение IPSEC event_on_ike_sa
10:54:19 1802715
side=Responder msg="failed" int_severity=6
.............................................................................................................................................................................................
77.77.77.77 - ip-адрес на dmz (dmz-ip)
83.83.83.83 - ip-адрес клиента, который пытается подключиться

Проверил случай прямого подключения клиентского компьютера к модему, вдруг NAT со стороны клиента как-то мешает - с тем же неуспехом.
Файл из предыдущего поста содержит эту и другую информацию, которая может быть полезной для понимания происходящего.

Искал в интернете - вопросы есть, ответов нет. А может, я хочу невозможного?

У вас default route в таблице main куда смотрит? Нет балансировки?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Что такое балансировка, не знаю, наверное ее нет.

Сейчас таблицы и правило маршрутизации выглядят так:

main
1 Маршрут wan wannet 100 No Direct route for network wannet over interface wan.
2 Маршрут wan all-nets wan_gw 100 No Default route over interface wan.
3 Маршрут lan lannet 100 No Direct route for network lannet over interface lan.

alt
only - выбрал из "По умолчанию"/first/only как в FAQ, не понимая смысла
1 Маршрут dmz dmznet 100 No
2 Маршрут dmz all-nets dmz_gw 100 No

Правило маршрутизации - Общие
Имя: dmz
Таблица прямой маршрутизации: alt (было main, с тем же эффектом)
Таблица обратной маршрутизации: alt
Сервис: all_services
Расписание: (None)

Адресный фильтр dmz/all-nets any/all-nets
======================================================================================
Прим. No относится к мониторингу

При проведении опытов, зафиксированных в файле (пост от 30 мая) в таблице маршрутизации main были еще строки 4 и 5 такие же, как строки 1 и 2 в таблице alt, но они, как я понимаю, не работали.

Правило маршрутизации проверял с обеими таблицами прямой маршрутизации: как main так и alt. На dmz интерфейсе pptp сервер работает в обоих вариантах, l2tp - не работает ни в одном.

PBR поправьте
dmz/all-nets any/all-nets, forward main, return alt

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Так оно и было в PBR: forward main / return alt.

main на alt поменял уже после основных экспериментов. Результат, что непонятно, такой же на 100%.

Нашел интересное сообщение по моему вопросу:

viewtopic.php?f=3&t=131019&p=689060&hilit=DFL210+L2TP#p689060

Тоже не работают одновременно два l2tp сервера на интерфейсах wan и dmz.
Но.
1. Работает вариант с мониторингом интерфейса wan: при переключении на резервный канал начинает работать и резервный l2tp сервер.
2. Удивительно просто поднимается pptp сервер на интерфейсе lan. Никаких vlan-ов, прямо не верится что так просто - и это работает.
Как вариант на lan_ip можно пробрасывать порт 1723 с роутера попроще, через который заводится другой провайдер (мой случай).

А вот здесь люди решили еще в 2008 году мою задачу, правда, не написано, как решили.

19.08.2008г. сотрудник DLINK Sergey Vasiliev написал, что "Схема рабочая и обкатанная, Док по настройки" и дает ссылку
http://www.mediafire.com/?vznqzyyg2y1
Ссылка очень старая, понятно, что умерла.

Уважаемый Sergey Vasiliev!
Пришли, пожалуйста, и мне ссылку на доп. настройки, чтобы на моем DFL-210 два l2tp сервера на интерфейсах wan и dmz заработали наконец одновременно.
Так как времени рабочего и личного уже потрачено раз в 10 (десять) больше, чем стоит DFL-210.
А задача превратилась из задачи во времяпровождение.

А зачем вам чтобы два сервера работали обязательно двух интерфейсах? Чем плохо, если на одном?

Можно, конечно, попробовать на каком-нибудь полигоне.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.