Здравствуйте, вот моя проблема. Наш провайдер предоставляет доступ в интернет по LAN (соответственно все компьютеры пользователей объединены LAN-сетью, а в интернет мы выходим или через VPN, или через PPPoE соединение).

Мы купили DLINK DI-804HV вот с какой целью. Нужно подключить его к общей сети провайдера, и установить на нем постоянное соединение с Интернетом (для этого в WAN вход установлен кабель от LAN провайдера, и настроено его подключение по PPPoE). Все остальные наши компьютеры в офисах объединены в этой же LAN-сети провайдера (т.о. в простой вход роутера также подключен LAN провайдера, что бы можно было установить соединение между нашими компьютерами и роутером). Как организовать соединение компьютеров с роутером (фактически он просто должен заменить компьютер-шлюз) для выхода в интернет?

Некоторые характеристики:
IP компьютеров провайдера: 10.0.0.0 - 10.10.254.254;
IP роутера: 10.2.1.85;
IP, в PPPoE соединении: 172.16.8.210.

Продолжая тему. Самый простой вариант у меня не получился. По WAN я настроил постоянный выход в интернет (PPPoE соединение). Т.е. роутер "одним концом" стал открыт интернету. Осталась вторая проблема - подключение к нему нескольких компьютеров (в наших офисах) из большой сети провайдера.

Первый, и самый очевидный, вариант(PPTP сервер) не удалось воплотить(где-то тут уже было написано, что PPTP сервер одновременно с PPPoE WAN работать не будет). Начал городить L2TP сервер. Но соединения не происходит(ошибка 789), вот лог:

Friday August 31, 2007 10:44:37 Receive IKE M1(INIT) : 10.2.1.24 --> 10.2.1.85
Friday August 31, 2007 10:44:37 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Others
Friday August 31, 2007 10:44:37 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Friday August 31, 2007 10:44:37 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Friday August 31, 2007 10:44:38 Send IKE M2(RESP) : 10.2.1.85 --> 10.2.1.24
Friday August 31, 2007 10:44:43 IKED re-TX : RESP to 10.2.1.24
Friday August 31, 2007 10:44:48 IKED re-TX : RESP to 10.2.1.24
Friday August 31, 2007 10:44:58 IKED re-TX : RESP to 10.2.1.24
Friday August 31, 2007 10:45:08 IKED re-TX : RESP to 10.2.1.24
Friday August 31, 2007 10:45:28 IKED re-TX : RESP to 10.2.1.24
Friday August 31, 2007 10:45:29 Send IKE (INFO) : delete 10.2.1.85 -> 10.2.1.24 phase 1
Friday August 31, 2007 10:45:29 IKE phase1 (ISAKMP SA) remove : 10.2.1.85 <-> 10.2.1.24


где 10.2.1.24 0 ip компьютера, 10.2.1.85 - ip роутера.

Аналогично не будет работать и l2tp сервер.
Возможно настроить подключение только по ipsec

Плохо, конечно, но если нет возможности настроить pptp и l2tp сервер, будьте добры, расскажите, каким образом я могу настроить ipsec соединение между роутером и windows-xp? К сожалению я не видел подобной темы на сайте.

Еще раз уточняю: роутер выступает как шлюз в интернет (а не к какой-то корпоративной подсети). Т.е. нужно настроить подключение до роутера, по общественной сети(LAN провайдера). При этом роутер по WAN подключен к этой же сети, но с PPPoE авторизацией в ней.

Ап темы и попутно о моей новой ошибке.
Я попытался установить ipsec соединение, как то предлагал Уважаемый Александр. Для этого использовал инструкцию: http://www.dlink.ru/technical/faq_vpn_19.php. Но в "Локальной сети" в настройках роутера поставил 0.0.0.0 mask 0.0.0.0 (т.к. роутер выступает интернет шлюзом). А также в настройках Windows, в Адрес источников/назначения пакетов указал "Все IP" вместо "Указанной подсети"(опять же, т.к. роутер - шлюз в интернет, а не в подсеть).

Ошибка появилась таково плана. Команда Ping постоянно выдает "Согласование используемого уровня безопасности". Т.е. не нормального пинга до маршрутизатора, не, тем более, интернета не получается(хотя роутер по WAN и PPPoE к интернету подключен).

Ап теме. Так и не получилось настроить IPsec туннель. Постоянно выдается "Согласование ..." на попытку ping'a.

Что-то я перестал понимать Ваши цели. Вы хотите чтобы к роутеру подключались извне клиенты и через этот же роутер выходили в Интернет? Т.е. Чтобы роутер их заворачивал обратно на WAN порт? Этого сделать нельзя. Клиенты IPSec могут иметь доступ только в LAN подсеть роутера.

Ок, попробую объяснить.
1) Есть LAN-сеть провайдера, из нее в интернет выход возможен по PPPoE или PPTP соединению с сервером провайдера.

2) В этой сети висят все наши компьютеры (IP внутрисетевые выдает провайдер, пул: 10.х.х.х), и в ней же висит роутер (т.е. физически и в LAN и в WAN порты вставлен один и тот же кабель провайдера).

3) WAN: настроен на постоянный коннект к интернету по PPPoE

4) LAN: ip роутеру присвоен как рядовому компьютеру в LAN-сети провайдера (из пула адресов 10.х.х.х). Роутер пингуется с любого компьютера в LAN-сети провайдера.

Необходимо: с нескольких компьютеров, состоящих в сети провайдера организовать коннект с роутером. Т.е. они по LAN провайдера коннектятся с LAN портом роутера и через PPPoE соединение(организованное на WAN-порте роутера) уходят в интернет.

Схема такова:
Клиент ---> LAN-провайдера ---> LAN-порт -> РОУТЕР DI-804HV -> WAN-порт(PPPoE) ---> LAN-провайдера ---> Интернет

Сейчас реализована правая часть (от роутера до интернета). Работает стабильно.

В левой части (от клиента до роутера) пока работает только http коннект (в частности, для настройки роутера).

Вопрос: как организовать IPsec туннель?

В Вашем случае организовать IPSEC туннель нельзя, да и смысла в этом нет.
Если Вы хотите чтобы клиенты ходили в Интернет через роутер просто укажите клиентам в качестве шлюза по умолчанию ip-адрес роутера.

Да, видимо, самый простой способ здесь будет самым правильным. Ограничивать чужих прийдется не туннелями, а через fw.

Последний вопрос, не знаю к кому адресовать, к специалистам или к пользователям - ни кто не сталкивался с учетом траффика, прошедшего через роутер? Есть какие-то инструменты для этого?

Снова к Вам за помощью...

Возникла проблема. Нужно настроить доступ к роутеру по LAN интерфейсу (подключена туда сеть провайдера 10.х.х.х). Компьютеры, висящие в подсети роутера 10.2.1.х коннектятся отлично, те кто не в ней - не могут. Как им открыть доступ (как вы посоветовали, я настраиваю на компьютерах шлюзом мой роутер)?

Компьютерам которые висят в другой подсети никак.

А объясните пожалуйста, чем вас не устраивает подключение по-человечески?

Прошу прощения, а что вы подразумеваете под "нормальным" подключением?

внутреннюю сеть подключить к роутеру. lan провайдера к wan порту роутера.
Разве не нормально? или я ошибаюсь?