Здравствуйте!

В FAQ есть пример по организации VPN между двумя сетями, которые подключены вовне через NAT, с использованием двух файрволов и двух маршрутизаторов, т.е. это чисто аппаратная реализация для случая "один к одному".

Имею практическую задачу для организации в необходимых случаях доступа к ЛВС клиентов, использующих наше ПО, через VPN (т.е. "один ко многим"):

1) Имеется чужая сеть (в общем случае внутренние адреса мне не ведомы, причем таких сетей множество, но пока рассмотрим пример для одной из них) , которая через NAT подключена к интернету любым доступным местным сисадминам способом, например с использованием DI-604. В этой сети работает VPN-сервер (PPTP) с IP 192.168.0.150. Также, предположим, тамошний сисадмин сообщает мне свой внешний IP 10.10.10.10

2) Имеется моя сеть (здесь с адресами все точно, т.к. сеть моя, я в ней хозяин, все адреса знаю, все могу поменять при необходимости) 192.168.0.0, которая через NAT подключена к интернету через DI-1750 (lan:192.168.0.1, wan:20.20.20.20). Cо своего клиентского компьютера с IP 192.168.0.104 мне надо получить доступ по VPN в упомянутую чужую сеть.


Вопрос:
1) Как должен настроить чужой сисадмин свой DI-604, чтобы позволять устанавливать извне соединения к внутреннему VPN-серверу 192.168.0.150 используя PPTP-протокол?
2) Что надо сделать мне на своем DI-1750 для того, чтобы клиент моей сети с IP 192.168.0.104 мог подключаться к чужому VPN-серверу по PPTP?

--
Vasily Ovchinnikov

Если я правильно понял, удаленная контора сидит в инете через длинк 604, а впн сервер этой конторы на внутреннем ипшнике за тем же длинком? Пптп идет по 1723 tcp/udp порту, я бы поставил проброс 1723 реал ип - 1723 внутренний впн сервер. В этом... как там у длинка называется... Где проброс портов извне внутрь.

Свою сеть... На самом деле практически любой нат пропускает пптп без всяких извращений. Достаточно сидеть просто за натом. Хотя у длинка есть кнопка "пропускать пптп" в адвансед миск практически всех рутеров. Да... И с учетом первого абзаца ип сервера пптп указывается как интерфейс ван длинка "противника".

Да, правильно понял. Только есть еще (помимо порта 1723) протокол IP за номером 47 (GRE). Мне кажется, что этот внутренний VPN вообще как DMZ прописать придется в DI-604, но пойдет ли на это чужой сисадмин?


DI-1750 - могучая железяка со своей системой команд. Меня интересует, необходимо ли ЯВНО создавать access-list, например таким образом:

config-interface FastEthernet0/0
config-ip address 20.20.20.20 255.255.255.248
no config-ip directed-broadcast
config-ip access-group INetIn in
config-ip access-group INetOut out
config-ip nat outside
!
config-ip access-list extended INetOut
config-permit tcp any any eq 1723
config-permit 47 any any
[/quote]

Гре за натом не ходит, пробовали... Ну не изнутри наружу, а снаружи внутрь. и потом он не пптп все-таки...



Ну вот пример нетстат сидящего из под ната, правда на моем внешнем серваке:
11.111.11.111.pptp host.hnt.ru.62251

Юзер в внутренним ипшником провайдера хнт.

Жалко, что не ходит GRE за NAT'ом...