VPN (через PPTP) подключение к VPN серверу с «белым» IP от клиентов с «серыми» IP

Сформулирую задачу.

Имеется центральный офис (далее ЦО) с локальной сетью 192.168.133.0/24 подключенный к Интернет через связку DI-804HV DSL-300T (PPPoE) с «белым» IP 87.117.ccc.ddd на WAN порту. На DI-804HV поднят PPTP сервер 10.100.10.1/24.

Удаленные PPTP клиенты, имея динамические («серые») Интернет IP адреса, подключаются к сети ЦО путем создания соответствующего VPN соединения.

Соединение устанавливается и относительно стабильно работает из под Windows XP и Windows Vista.

Однако, после установления VPN соединения каждый раз необходимо прописывать вручную маршрут командой:
route add 192.168.133.0 mask 255.255.255.0 10.100.10.1 metric 1. А в Windows XP еще и указывать номер интерфейса VPN соединения, который каждый раз разный.

Кроме того, из под XP ресурсы ЦО доступны только по явно указываемым IP, но не по символьным именам. И еще не работает мэппинг локальных ресурсов (принтеров и дисков) при RDP-подключении.

Согласитесь, сие очень неудобно.

В идеале хотелось бы реализовать следующее: удаленный клиент (УК) должен иметь возможность организовать стабильный (самовосстанавливающийся после обрыва) VPN канал, желательно «прозрачный» (т.е. с IP из диапазона подсети ЦО) с соответсвующим доступам к ресурсам ЦО и УК в обоих направлениях.

Недавно для связи удаленного офиса (УО) и ЦО приобрел DSL-G804V (прошил до 1.00.08.ds1).

Попытка реализовать с его помощью VPN пока не увенчалась успехом.

Сделал следующее: создал PPTP (Remote Access) исходящее (Dial out) соединение по аналогии с Windows VPN. Соединение устанавливается, получает IP вида 10.100.10.xxx.
Успешно пингуется IP PPTP сервера 10.100.10.1.

В таблице маршрутов DSL-G804V в дополнение к существующему, прописываю маршрут в подсеть (ЦО). В итоге таблица маршрутов выглядит:
Routing Table
Valid Destination Netmask Gateway/Interface Cost

0.0.0.0 0.0.0.0 0.0.0.0/ ipwan 1

192.168.133.0 255.255.255.0 10.100.10.1/ ipwan 1

Попытка пинговать компьютер в сети ЦО – безуспешна.
Всё…
Дальше прошу помощи гуру.
Потратил уже несколько дней на изучение FAQ по VPN и поиск решения в данном форуме (и не только)

Что ж... Полагаю необходимо набраться терпения... Судя по количеству просмотров, вопрос актуален. Судя по количеству ответов, решения нет. Специалист посоветовал мне решить проблему путем использования IPSec протокола вместо PPTP. Тем не менее для меня актуальна возможность использования PPTP.

Вам нужен именно IPSec.
В Вашем случае роутер DI-804HV ничего незнает про Вашу удалённую подсеть. Он видит только кодного клиента pptp, подключенного к нему. Использовать этого клиента в качестве шлюза нельзя.

У меня такая же задача.
Со стороны DI-804HV - статический IP, со стороны DSL-G804V - динамический.
PPTP тоннель поднимается, однако сети друг друга не видят.
IPSec поднимается толко если на DI-804HV в Remote Gateway указать IP, который выделился для DSL-G804V. При этом сети отлично видятся. Понятно это не решение, поскольку IP на DSL-G804V меняется часто.
Есть ли возможность настройки IPSec между зтими двумя девайсами, в случае, если с одной стороны динамика?

С какой стороны динамика а с какой статика?

Статика со стороны DI-804HV.
Динамика со стороны DSL-G804V.
Dynamic IPSec на DI-804HV прописан, по нему нормально цепляются компьютеры.
Еще на DI-804HV прописан и обычный IPSec тоннель в сторону DSL-G804V, только в нем Remote Gateway не указанн. Запросы на поднятие тоннеля приходят от DSL-G804V на DI-804HV, но DI-804HV их игнорирует.
Если указать на DI-804HV в Remote Gateway IP, который выделился для DSL-G804V в данный момент, то тоннель поднимается без вопросов.

Неправильно, на DI-8ХХ есть Dynamic VPN Settings, вот эту функцию и надо использовать.

Дак о патаюсь использовать Dynamic VPN.
Он прописан на DI-804HV прописан, по нему цепляются компьютеры.
Установок там немного:
Local Subnet
Local Netmask
Preshare Key
Extended Authentication
(xAUTH) Enable Server mode

IKE Proposal index
IPSec Proposal index
Все прописано.

Может я на DSL-G804V делаю что то не так? может есть особенности для такого случая ?
На DSL-G804V я прописываю тоннель как обычно, указывая Local Subnet, Remote Subnet, Preshare Key итд.
DSL-G804V пытается установить тоннель, а DI-804HV говорит, что Wrong ID.

Используйте PSK, не настраивайте Extended Authentication
(xAUTH) Enable Server mode. Убедитесь что прошивка на обоих устройствах последняя.

Ничего не получается
На DI-804HV отключил Extended Authentication.
На DSL-G804V настройки такие

Local Network Subnet
IP Address 10.0.1.0
Netmask 255.255.255.0

Remote Secure Gateway IP 212.50.18.77
Remote Network Subnet
IP Address 10.0.0.0
Netmask 255.255.255.0

Proposal ESP
Authentication Type SHA1
Encryption 3DES
Perfect Forward Secrecy MODP 1024
Pre-shared Key *********

Advanced Options
IKE Mode Aggressive
IKE Proposal
Hash Function SHA1
Encryption 3DES
Diffie-Hellman Group MODP 1024
Local ID
Type Default
Content
Remote ID
Type Default
Identifier
SA Lifetime
Phase 1 (IKE) 480 minutes
Phase 2 (IPSec) 60 minutes

Вот лог с DI-804HV

Wed Mar 05 12:40:29 2008 Receive IKE A1(AINIT) : [92.112.106.11]-->[212.50.18.77]
Wed Mar 05 12:40:29 2008 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Wed Mar 05 12:40:29 2008 Send IKE A2(ARESP) : [212.50.18.77]-->[92.112.106.11]
Wed Mar 05 12:40:29 2008 Send IKE (INFO) : delete 212.50.18.77 -> 92.112.106.11 phase 1
Wed Mar 05 12:40:29 2008 IKE phase1 (ISAKMP SA) remove : 212.50.18.77 <-> 92.112.106.11
Wed Mar 05 12:40:29 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:29 2008 Receive IKE A1(AINIT) : [92.112.106.11]-->[212.50.18.77]
Wed Mar 05 12:40:29 2008 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Wed Mar 05 12:40:30 2008 Send IKE A2(ARESP) : [212.50.18.77]-->[92.112.106.11]
Wed Mar 05 12:40:30 2008 Send IKE (INFO) : delete 212.50.18.77 -> 92.112.106.11 phase 1
Wed Mar 05 12:40:30 2008 IKE phase1 (ISAKMP SA) remove : 212.50.18.77 <-> 92.112.106.11
Wed Mar 05 12:40:33 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:40:33 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:40:33 2008 Receive IKE A1(AINIT) : [92.112.106.11]-->[212.50.18.77]
Wed Mar 05 12:40:33 2008 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Wed Mar 05 12:40:33 2008 Send IKE A2(ARESP) : [212.50.18.77]-->[92.112.106.11]
Wed Mar 05 12:40:33 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:33 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:40:33 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:40:34 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:34 2008 Send IKE (INFO) : delete 212.50.18.77 -> 92.112.106.11 phase 1
Wed Mar 05 12:40:34 2008 IKE phase1 (ISAKMP SA) remove : 212.50.18.77 <-> 92.112.106.11
Wed Mar 05 12:40:38 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:38 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:38 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:43 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:44 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:48 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:48 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:53 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:58 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:40:58 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:41:03 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:41:04 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:41:05 2008 Send IKE (INFO) : delete 212.50.18.77 -> 92.112.106.11 phase 1
Wed Mar 05 12:41:05 2008 IKE phase1 (ISAKMP SA) remove : 212.50.18.77 <-> 92.112.106.11
Wed Mar 05 12:41:18 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:41:18 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:41:19 2008 Send IKE (INFO) : delete 212.50.18.77 -> 92.112.106.11 phase 1
Wed Mar 05 12:41:19 2008 IKE phase1 (ISAKMP SA) remove : 212.50.18.77 <-> 92.112.106.11
Wed Mar 05 12:41:19 2008 Send IKE (INFO) : delete 212.50.18.77 -> 92.112.106.11 phase 1
Wed Mar 05 12:41:19 2008 IKE phase1 (ISAKMP SA) remove : 212.50.18.77 <-> 92.112.106.11
Wed Mar 05 12:41:23 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:41:24 2008 Send IKE (INFO) : delete 212.50.18.77 -> 92.112.106.11 phase 1
Wed Mar 05 12:41:24 2008 IKE phase1 (ISAKMP SA) remove : 212.50.18.77 <-> 92.112.106.11
Wed Mar 05 12:48:19 2008 Receive IKE A1(AINIT) : [92.112.106.11]-->[212.50.18.77]
Wed Mar 05 12:48:19 2008 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Wed Mar 05 12:48:20 2008 Send IKE A2(ARESP) : [212.50.18.77]-->[92.112.106.11]
Wed Mar 05 12:48:24 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:48:24 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:24 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:28 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:28 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:32 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:32 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:36 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:36 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:36 2008 Send IKE (INFO) : delete 212.50.18.77 -> 92.112.106.11 phase 1
Wed Mar 05 12:48:36 2008 IKE phase1 (ISAKMP SA) remove : 212.50.18.77 <-> 92.112.106.11
Wed Mar 05 12:48:40 2008 Receive IKE A1(AINIT) : [92.112.106.11]-->[212.50.18.77]
Wed Mar 05 12:48:40 2008 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Wed Mar 05 12:48:41 2008 Send IKE A2(ARESP) : [212.50.18.77]-->[92.112.106.11]
Wed Mar 05 12:48:42 2008 Receive IKE A1(AINIT) : [92.112.106.11]-->[212.50.18.77]
Wed Mar 05 12:48:42 2008 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Wed Mar 05 12:48:42 2008 Send IKE A2(ARESP) : [212.50.18.77]-->[92.112.106.11]
Wed Mar 05 12:48:45 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:45 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:46 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:46 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:49 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:49 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:50 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:50 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:52 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:52 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:54 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:54 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:48:57 2008 Receive IKE A1(AINIT) : [92.112.106.11]-->[212.50.18.77]
Wed Mar 05 12:48:57 2008 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Wed Mar 05 12:48:57 2008 Send IKE A2(ARESP) : [212.50.18.77]-->[92.112.106.11]
Wed Mar 05 12:48:58 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:48:58 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:49:01 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:49:01 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:49:02 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:49:02 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:49:02 2008 IKED re-TX : ARESP to 92.112.106.11
Wed Mar 05 12:49:02 2008 Send IKE (INFO) : delete 212.50.18.77 -> 92.112.106.11 phase 1
Wed Mar 05 12:49:02 2008 IKE phase1 (ISAKMP SA) remove : 212.50.18.77 <-> 92.112.106.11
Wed Mar 05 12:49:06 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:49:06 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:49:07 2008 Receive IKE A1(AINIT) : [92.112.106.11]-->[212.50.18.77]
Wed Mar 05 12:49:07 2008 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Wed Mar 05 12:49:07 2008 Send IKE A2(ARESP) : [212.50.18.77]-->[92.112.106.11]
Wed Mar 05 12:49:10 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:49:10 2008 IKED re-TX : MM to 92.112.106.11
Wed Mar 05 12:49:11 2008 receiving a re-Tx MM msg, response the last msg
Wed Mar 05 12:49:11 2008 IKED re-TX : MM to 92.112.106.11


Где грабли?
Что делаю не так?

Помогло в решении проблемы установка вместо DI-804HV, BSR222 от NORTELа.
В нем динамический IPSec прописывается так же как и обычный, только Remote Secure Gateway IP 0.0.0.0
И пожалуйста, цепляются по этому правилу несколько девайсов с динамическим IP.
Сейчас подцеплено 4 тоннеля с DI-804HV и DSL-G804V.
Правдо почему то DI-804HV поднимает одновременно два одинаковых тоннеля, один IKE established другой Establishing.

А все-таки на оборудовании D-Link кто-нибудь решил такую задачу?

Клиенты должны установить туннель VPN, после чего прописать маршрут на постоянной основе командой:
route add -p 192.168.133.0 mask 255.255.255.0 10.100.10.2 metric 1
Ключ -p позволяет делать этот маршрут статическим, т.е. при восстановлении связи он будет использоваться таблицей маршрутизации Windows, а также после перезагрузки. Номер интерфейса прописывать не надо, т.к. винда сама определит кратчайший маршрут. 10.100.10.2 - это IP, который получит ПК при установлении соединения. В Вашем случае это может быть другой адрес. В любом случае указывать надо полученный IP в качестве шлюза, а не адрес сервера.

Можно и по символьным, если в ЦО поднять DNS-сервер, а в настройках VPN у подключающихся клиентов прописать его явным образом (Кажется, в самом DI-804HV нельзя это прописать на PPTP-сервере). Далее читать здесь - http://support.microsoft.com/kb/311218 Там описывается, как поменять порядок опроса DNS-серверов. Чтоб сначала делался запрос на ДНС, полученным при установлении туннеля. Не забудьте в Панель управления-Сетевые подключения-Дополнительно-Дополнительные параметры переместить Подключения удаленного доступа на самый верх.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)