Выполнил первоначальную настройку DFL-800, машины в инет бегают. Потом сделал всё как описано в мануале http://www.dlink.ua/sites/default/files ... Manual.pdf. Для IPsec Roaming Clients with Pre-shared Keys.
В одном месте правда была загвоздка, при создании User Authentication Rule не все опции доступны, как показано в примере.

На всякий случай в LB users у Ipsec clientов прописал вручную IP из lannet. Это допустимо? Или вариант A. IP addresses already allocated мне не подходит?

Всё пытаюсь законнектиться созданным VPN соединением на стандартном win клиенте. Там ничего не менял, в типе VPN автоматически, а в дополнительных параметрах прописал созданный в маршрутизаторе pre-shared key. Не коннектит, вот что в логах:



PS
А это нормально что в IPsec и IKE algorithms только null и des, в версии 1.20 было на выбор штук 7, 3des aes и так далее.

ставте прошивку WW
по ходу у вас Ru , поэтому может и глюки быть

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Поставил последнюю WW прошивку, в алгоритмах появились новые шифровальные.
В User Authentication Rule, без изменений, но там когда выбираешь способ аутенфикации XAuth он блокирует остальные поля. В originator IP выбрать all-nets?

Я правильно понимаю что тип VPN в винклиенте это протокол L2TP с IPsec?
Вот что теперь в логах


PS
так можно так назначить IP адрес в Ipsec клиентах или мне нужно использовать способ B. IP addresses handed out by NetDefendOS
из мануала и настраивать для IPsec туннеля dhcp сервер с пулом адресов?

Вообще по логике если lannet 192.168.255.0/24 и такая же сеть у клиента - то не та ни другая сторона в общем-то и не подумают слать пакеты своим шлюзам при обращениях с локальным с их точке зрения адресам.

то есть 192.168.255.100 не будет пытаться слать пакеты на 192.168.255.101 через шлюз, а будет "кричать" в локалку.


xauth - по сути дополнительная аутентификация - для начала я бы ее выключил

192.168.255.209 это ванИП роутера, локалка роутера 192.168.1.0.

PS
а как я к впну подключусь если у меня нет тогда ни пользователя ни пароля?

В общем разобрался, накосячил я немного с айпишниками в создание тунеля. Всё заработало.
А кто подскажет, как прописать и где чтобы клиенту давался шлюз? Просто после аутенфикации в pptp или l2tp, клиент имеет ип маску и днс (нашел в настройках тунеля), а шлюз?

и не будет , пoтому что это P2P, откуда шлюз ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ну я не шибко специалист -)
Так ладно, а можно сделать чтобы клиенты l2tp ходили в инет через маршрутизатор мой и как? Да я понимаю, вы спросите нафига они же и так из ван попали. Но всё же.

да можно
nat l2tp/l2tp-net wan/allnets all-service

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я пока ждал ответа, уже проверил на другом маршрутизаторе, там я настроил pptp сервер, а на первом l2tp через ipsec. И там пингуется всё, а после добавления sat и nat для DNS-all правила клиенты уже полноценно забегали.
Так вот, оказалось что второй маршрутизатор с pptp даже без правил, через системную утилиту пинг пинговал 8.8.8.8 с включенным pptp сервером. А первый маршрутизатор после настройки и активизации l2tp сервера и ipsec перестает пинговать, хотя до этого на базовой конфигурации это делал.. Что я сделал не так? Картинки с настройкой ipsec и l2tp приложу сейчас

Всё заработало после того, как убрал галочку в настройке Ipsec, в Advanced, automatic add route ну или можно увеличить цену выше 100.

Ну так это ж в мануале прописано.
Сам недавно настраивал L2TP поверх IPSec.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Очередной дурацкий вопрос.
Предположим на wan2 порту настроен l2tp поверх Ipsec, вся сеть вана2 не имеет доступа к интернету. Клиенты подключаются через wan2ip. Предположим я хочу подключится к какому то ip (пусть это будет 10.10.10.1, и он не входит в сеть ван2) как мне осуществить проброс портов, чтобы клиент подключаясь к 10.10.10.1 попал на сервер l2tp?
И возможно ли такое вообще?

3 раза перечитал. Нихрина не понял.
Нарисуйте схему, что Вы хотите?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В ван2 воткнут шнур локалки (пусть будет сеть 192.168.10.0). Машины подключаются по l2tp используя wan2_ip в впн клиенте. Вот а хотелось бы чтобы я мог ввести в впн клиенте ip 10.10.10.1 и так же попасть на свой l2tp сервер.

Ps
Всё пока описывал нашу идиотскую структуру сети вдруг осознал, что это не поможет =)