Приветствую, искал информацию по настройке DFL-210 , нашел много но еще больше не нашел, посему решил отписать здесь, от данного девайса нужно следующее:

поднять сервер pptp , чтобы пользователь соединялся с pptp сервером через pptp client windows раздавать для пользователей доступ в интернет из lan в wan через данный сервер
на wan порте поднять соединение с adsl (dinamic , static) провайдером, по возможности настроить wan2 для резервной линии интернет ( я так понял что можно DMZ зону переделать под WAN2 ), настроить шейпер (по возможности на каждого пользователя по отдельности), настроить так чтобы пользователи (которые только пользуются интернетом) не видели друг друга в сети и не могли обмениваться информацией, а только пользоваться интернетом, также сделать изолированную неограниченную сеть для офиса для обмена информацией и выхода в инернет и изолировать данную сеть от пользователей интернета.
Сделать так чтобы можно было управлять девайсом как снаружи с wan порта (поднять соединение с DDNS сервером, так как основной интернет с выдачей динамических айпи адресов при каждой авторизации) так и с lan порта (с внутренней сети и с внешней)

вот такие вот вопросы нарисовались, помогите прояснить их, или укажите на информацию размещенную в сети, а то искал и нашел только обрывки и общая картина не проясняется и немогу связать концы чтобы настроить девайс. Просьба не тыкать в мануал, был я там , а дать конкретную информацию

Заранее спасибо за ответ ...
С уважением , Олег

Достаточно много есть здесь

ftp://ftp.dlink.ru/pub/FireWall/

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM

Согласен что там ftp://ftp.dlink.ru/pub/FireWall/ ного чего есть, но нет общей картины как связать вместе wan ppoe , pptp serer с выдачей ip адресов клиентам , аутентификацию клиентов на pptp server через pptp client windows и прочее из моего первого поста.

что я смог это поднять из wan ppoe dinamic соединение - соединение установилось нормально , по мануалу настраивал pptp сервер, но там в мануале подымается канал из wan в lan , а мне надо чтобы клиенты из lan соединялись с помощью pptp client windows с поднятым pptp сервером и выходили в интернет через wan , предварительно dfl-210 подымает ppoe соединение на wan порте.

Для начала надо это настроить, если получится то пойдем дальше

Действовать надо аналогично как поднимается PPTP сервер на wan, просто будут другие фильтры интерфейсов и использовать надо подсеть отличную от lan.

Повторюсь. Если не прав, ткните где.

1. РРТР сервер возможен. С авторизацией в БД девайса или на радиусе. Настройки видел в FAQ
2. РРРоЕ в девайсе только клиент. Если надо сервер, вам DSA
3. Подключение к прову - любое! DFL настолько гибкий девайс, что все заработает.
4. Резерв - вполне. Переобзовите dmz в wan2, настройки смотрите в том же FAQ на 800ку - connection favorier вроде. В новой прошивке обещают мониторинг по пингу - вообще супер будет.
5. Шейпер - для меня темный лес в DFL. А для чего он попользовательно? Для всех - понимаю еще... Тут смотрите мануал.
6. Чтобы не видели друг друга - думаю, вам с масками надо поиграться. Я в этом слегка не силен, но думаю обрезанием маски до 255.255.255.254 или что-то вроде того, можно добиться чтобы все шло через DFL (шлюз)
7. Насчет изолированных сетей. Лучший способ - физически, в другой интерфейс. Но так как у 210 их только 3, путей решения есть 2: другой девайс (DFL-800 имеет 4 интерфейса) или свитч 2 уровня, благо все DFL поддерживают VLAN. Первый вариант имхо более правильный, ибо вы уверены, что 210й с такими нагрузками справится?
8. Управление снаружи - либо галка такая вроде была, в remote management, либо правило создалите на доступ по 80 порту к девайсу и все
9. DDNS если память не изменяет, есть в DFL

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav

Я тоже думаю что все возможно , что мне требуется, но прошу не подтверждения того, что все возможно, а помощи в настройке девайса по тем параметрам которые мне необходимы.

Еще раз повтроюсь, единственное что у меня получилось - поднять ppoe соединение , остальное ничего не заработало... Читал мануалы с фтп ftp.dlink.ru , ftp.dlink.co.uk , ftp.dlink.de , но везде только обрывочные данные, либо то что мне совсем пока что ненужно , прошу вас сообщить конкретные настройки девайса, а не пинать меня снова в мануалы.

Например если подымаю pptp сервер, то что прописывать в настройках сетевухи windows , что прописывать в клиенте pptp windows, и вообще как поеменять правила с wan в lan на с lan в wan в настройках pptp сервера. Я вообще впервые настраиваю подобный девайс .... Так что прошу конкретной помощи, а не отсылок куда подальше....

Краткий мануал по IPRules http://www.mediafire.com/?9gojxxfzjfv . Что прописать именно в вашем случае в виндовс мы знать не можем, конфигурации вашей мы не знаем. К тому же данный форум касается настройки устройств D-link а не OC Windows.

Sergey Vasiliev

Мне не надо помогать настраивать windows, а надо инфу что прописать при настройке pptp клиента windows

вот что в вкладке InterfaceAddresses девайса

dmz_ip 172.17.100.254 IPAddress of interface dmz
dmznet 172.17.100.0/24 The network on interface dmz
lan_ip 192.168.1.1 IPAddress of interface lan
lannet 192.168.1.0/24 The network on interface lan
PPPoEClient_dns1 0.0.0.0 Primary DNS server received from PPPoE client PPPoEClient.
PPPoEClient_dns2 0.0.0.0 Secondary DNS server received from PPPoE client PPPoEClient.
PPPoEClient_ip 0.0.0.0 IP address received from PPPoE client PPPoEClient.
wan_dns1 0.0.0.0 Primary DNS server for interface wan.
wan_dns2 0.0.0.0 Secondary DNS server for interface wan.
wan_gw 192.168.110.1 Default gateway for interface wan.
wan_ip 192.168.110.254 IPAddress of interface wan
wannet 192.168.110.0/24 The network on interface wan

Вот что в вкладке rules - ip rules - lan_to_wan

1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan all-nets ftp-passthrough
4 allow_standard NAT lan lannet wan all-nets all_tcpudp
5 drop_smb-all Drop lan lannet PPPoEClient all-nets smb-all
6 allow_ping-outbound NAT lan lannet PPPoEClient all-nets ping-outbound
7 allow_ftp-passthrough NAT lan lannet PPPoEClient all-nets ftp-passthrough
8 allow_standard NAT lan lannet PPPoEClient all-nets all_tcpudp

вот что в вкладке routong - routing tables - main (read-only)

Route wan wannet 100 No Direct route for network wannet over interface wan.
Route wan all-nets wan_gw 100 No Default route over interface wan.
Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
Route lan lannet 100 No Direct route for network lannet over interface lan.
Route PPPoEClient wannet 90 No Direct route for network wannet over interface PPPoEClient.

настроил pptp server по мануалу http://www.dlink.ru/technical/faq_firewall_32.php

Вот данные что у меня есть и что надо связать воедино.

Внутреняя сеть в офисе 192.168.0.0/24
Внешние сети для доступа в интрнет
192.168.14.0/24
192.168.16.0/24
192.168.33.0/24
в офисе стоит D-link DI-824UP+ соотв беспроводная сеть 192.168.0.0/24 , в него воткнут модем ADSL тоже D-link - 500Т
с D-link DI-824UP+ соединен, через lan порт, DFL-210 , lan и wan порты DFL-210 соединил кабелем напрямую чтобы проверять адсл соединение на DFL-210

D-link DFL-210 пока в такой позиции стоит для настройки и тестирования, потом естественно адсл модем будет воткнут в wan порт DFL-210 и все сети будут подцеплены к lan портам DFL-210.

Требуется :

Надо чтобы клиенты из всех сетей коннектились с помощью pptp клиента windows к серверу pptp поднятому на DFL-210 и выходили в интернет, чтоб клиенты во внешних сетях не могли общаться друг с другом а только ходили в интернет и чтобы внутренняя сеть была изолирована от внешней.

Как поменять настройки pptp сервера чтобы он заработал для lan , какие правила добавить чтобы связать ppoe (ADSL) на wan с pptp сервером

Вам надо тогда настраивать два PPTP сервера, один на wan для доступа удаленных пользователей, другой на lan для выхода пользователей в интернет, на lan настраивается аналогично, только вам надо вывести pptp_pools и pptp_ip из диапазона lan, например в DMZ, перестроить стандартные правила так, чтоб источником был pptp сервер и ваш pptp pools

Sergey Vasiliev

Вы снова говорите, что все возможно - настраивайте....

А я неврубаюсь что к чему, если вам нетрудно опишите все поэтапно, что куда и как, к примеру вот это для начала затем все по этому мануалу, затем вот по этим мануалам и вставить вот это между ними или вот это убрать.

И зачем мне 2 pptp сервера если у нея все пользователи будут подключены к lan порта устройства , или вы говорите таким методом разграничить офисную сеть от остальных пользователей???

Это звучит, как если бы вы купили машину и приставали к менеджеру автосалона
"вы говорите что любой может ездить на машине, а я не понимаю как - давайте вы меня утром будете возить на работу, а вечером назад".

+1

Олег, если вы хотите разграничить не видящую никого кроме себя сеть и полнофункциональный лан, единственное корректное решение - физически разные сети. Иначе это будет лажа, физически единая, разная всего лишь логически - хрееееень

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav

После обкурки мануалами, не спав сутки и съев пол холодильника припасов наконец то настроил кое что, а иенно : поднялось ppoe dinamic соединение с провайдером, поднялся pptp сервер с аутентификацией через pptp клиента windows , клиентам раздается айпишник и клиенты ходят в интернет .

Надо продвигаться дальше, но незнаю с чего продолжить.

После настройки появились вопросы:

1. соединение у клиентов подымается только тогда если у них диапазон айпи адресов соотв диапазону адресов DFL-210, а именно у девайса адрес 192.168.1.1 и если у клиента например 192.168.1.х адрес и шлюзом указан 192.168.1.1 и прописаны днсы прова то соединение устанавливается, а как быть если у клиента явным образом указан айпишник типа 192.168.0.х или 192.168.16.х ??? пробовал на 192.168.0.х настроить комп - соединение не устанавливается - соотв надо решить данную задачу, предложите варианты и пути решения.

2. как запретить клиентам ходящим в интернет видеть друг друга в сети и общаться в сети???

3. правильно ли я настроил девайс

правила:

1 pppoewan_to_lan NAT PPPoEClient all-nets pptp_server pptp_ippool all_services
2 lan_to_pppoewan NAT pptp_server pptp_ippool PPPoEClient all-nets all_services

адреса :

dmz_ip 172.17.100.254 IPAddress of interface dmz
dmznet 172.17.100.0/24 The network on interface dmz
lan_ip 192.168.1.1 IPAddress of interface lan
lannet 192.168.1.0/24 The network on interface lan
PPPoEClient_dns1 ххх.120.160.ххх Primary DNS server received from PPPoE client PPPoEClient.
PPPoEClient_dns2 ххх.120.160.ххх Secondary DNS server received from PPPoE client PPPoEClient.
PPPoEClient_ip 0.0.0.0 IP address received from PPPoE client PPPoEClient.
pptp_server_ip 10.20.30.1 pptp server ip
wan_dns1 0.0.0.0 Primary DNS server for interface wan.
wan_dns2 0.0.0.0 Secondary DNS server for interface wan.
wan_gw 192.168.110.1 Default gateway for interface wan.
wan_ip 192.168.110.254 IPAddress of interface wan
wannet 192.168.110.0/24 The network on interface wan
pptp_ippool 10.20.30.2-10.20.30.240

насчет правил, стоит ли указать явным образом какие протоколы разрешить, я так понимаю написанное мной all services в правилах небезопасно, подскажите как правильно оформить.

4. Насколько безопасно будет подцепить офисную неограниченную сеть в DMZ порт а внешние сети в LAN и если так сделать то как пробросить для DMZ интернет из PPOE WAN

5. подскажите как зашейпить полосу пропускания для пользователей (групп пользователей)

6. как привязат пользователя по ип и мак чтоб не шалил...

Прошу помощи в следующих вопросах

1. Как правильно группировать для шейпера и вообще что можно группировать
айпишники, логины, или еще что, как все это можно сгруппировать если
айпишник выдается динамически , вобщем прошу поподробнее разъяснить
все про шейпер .

Возможно ли настроить шейпер на одного конкретного пользоватеря,
допустим есть ширина канала 2000 килобайт и 10 пользователей, надо
каждому раздать по 200 килобайт и не более в любом раскладе, как это
настроить???

2. И снова уточняющий вопрос, потому что я недоконца понял, есть сети
отличающиеся от основной по адресу, возможно ли раздать им доступ в
интернет или
окончательно нельзя, может можно какие маршруты прописать, ведь в дмз
зоне айпишник другой нежели в лан зоне однако можно завернуть маршрут
в wan из dmz ???

3. как запретить клиентам ходящим в интернет видеть друг друга в сети и общаться в сети???

И вообще может это сделать DFL или нет???

1. Правило на каждого пользователя, тут группировкой не обойтись, ровно не разделит.

2. собственно вопрос не понятен.

3. только пользователи подключенные к разным физическим интерфейсам не будут видеть друг-друга, для остального есть управляемые коммутаторы с поддержкой ACL и сигментации трафика.