Есть главный офис. И есть удаленная сеть. У обоих есть Интернет с белым IP.

Надо в удаленную сеть поставить маршрутизатор. Такой, чтобы ВЕСЬ Инет-трафик удаленной сети попадал в главный офис. И уже средствами ISA-сервера главного офиса уходил в Инет. Это нужно в целях контроля...

Напрашивается ipsec-туннель между офисной ISA и удаленной сетью. Но все виденные мной маршрутизаторы требуют указания КОНКРЕТНОЙ сети при настройке туннеля. То есть за удаленным шлюзом должны быть конкретные адреса, а не весь Инет...

Есть ли устройства от DLINK, которые позволят передать в главный офис весь исходящий трафик?

Какой тип подключения к провайдеру с удалённом офисе? Сколько в нем пользователей?

Тип подключения в удаленном офисе - ethernet. Public static IP.
Пользователей 10-15.

Смотрю на DFL-200. Возникают вопросы:
1. Можно ли у него указать удаленной сетью в ipsec-туннеле 0.0.0.0 mask 0.0.0.0? Завернет ли он исходящий из LAN трафик в туннель?
2. Если использовать PPTP-подключение к удаленному VPN-серверу. Перенаправится ли весь трафик из LAN на это подключение? И как он работает с mschapv2?

DFL-200 снят с производства, так что бери DFL-210. Если тебе нужен динамический IPSec, то да DFL-210 позволяет это сделать, но обязательно подсети должны быть разные, иначе ничего ходить не будет.

Эко Вы! А 2 Иса не судьба использовать? ведь Ваша схема как минимум 2 слабых места создает и дополнительную нагрузку...
Контнроля ктать чего?

Зы! Что мешает кстать запихнуть всех в один домен и разнести DC с ISA по офисам, а вот между DC уже через инет по VPN и связать...
Хоть обконролируйтесь! И SMS с WUS туда запхать мона и политики единые и т.д. и т.п. и с боку бантик!
И нагрузка резко падает тогда и отказаустойчивость на порядок больше...

Просто пердставте, что тунель того.... шлепнулся... или траблы у точки через которую все идет....
Да даже если и не шлепнулся... можно использовать его для беганья трафика между офисами..... мало ли у Вас в головном какой нить файл-сервер стоит..., а не грузить его инетом.....
Расходы кстать тоже падают.....

Зы.Зы! Пользователей не много, мона не совсем по уму сделать и совместить на одной машинке все.... (в удаленном офисе).

Вы о себе подумайте даже просто! Как тяжко будет фильмы откеда нить тянуть когда вам кроме ваших пользователей головного офиса, канал нагрузят еще и те 15 человек...

Да, именно так и надо делать, все должно получиться.

Dimos:
Таких удаленных офисов на самом деле 30 штук. Я просто не стал излишне заморачивать свой вопрос.
Так вот, в каждом таком офисе любой сотрудник может подойти к любому компьютеру и сделать все что угодно. Такова политика руководства, ничего с этим не могу сделать. Поэтому домены и прочее отпадают за ненадобностью.
Надо ограничить им всем Интернет определенным списком URL, ну и количество трафика обрезать. Причем надо оперативно изменять список URL.
Поставить в каждый офис ISA можно. И сервер конфигурации в главном офисе. Но насколько оперативно будут расходиться обновления? И потом, ISA - не самый надежный продукт. Каждый раз ездить, если что... Аппаратный роутер надежнее...
Я так думаю...

Alexandr Zaitsev
VPN-сервер в главном офисе раздает клиентам адреса из приватной сети(192.168...). И уже эта сеть имеет выход в Инет через NAT. PPTP-клиент из DFL-210 нормально это поймет? Будет он заворачивать в PPTP-туннель ВЕСЬ трафик из LAN?

Позвоните к нам в офис по телефону 744-00-99, доб. 408 и поговорите со Станиславом Козловым, он Вам подскажет модель устройства и примерные настройки.

Взяли на пробу один DFL-210. Все отлично работает, то что надо!!

Осталось пара мелких вопросов:

1. Есть ли возможность программно отключить wan-phys интерфейс? Если его задизаблить, то конфигурация не сохраняется. Потому что интерфейс используется в таблице маршрутизации, строки которой нужно также дисаблить. А вот это сделать невозможно - строки созданы автоматически и никак не управляются, не отключишь их...

2. При первоначальной настройке визардом указано, что в сеть all-nets надо ходить через PPTP-клиента. То есть абсолютно все заворачивать через VPN-соединение.
Есть ли возможность отключать PPTP-клиента? А то он соединяется с сервером при старте роутера. И больше уже не отцепляется... Иногда бывает неудобно...

Радость была преждевременной

Итак, берем DFL-210 и сбрасываем в заводские настройки. Далее в стартовом визарде указываем "PPTP-подключение к провайдеру". Указываем ip, логин-пароль на vpn-сервер. Там же указываем ip, network, def.gateway физического интерфейса.
Если WAN устройства и VPN-сервер находятся в одной ip-сети(public), то все в порядке. Если же в разных - туннель не устанавливается, с устройства пингуется только шлюз...

Напомню, что необходимо следующее: dlink включен в Интернет, public static ip. Но клиенты LAN за DLINK должны выходить в Инет только через vpn-сервер, который располагается на просторах Инета. Такая вот задача. Глупо, но нужно.

Преполагаю, что для установления pptp-туннеля dlink шлет пакет на адрес vpn-сервера. Если он в той же сети, что и WAN, то все в порядке. Если же vpn-сервер в Инете, то пакет на vpn-сервер посылается через PPTP-туннель, поскольку устройство думает что Инет только там. А пакет и нужен, собственно, для установления туннеля... Замкнутый круг!!! Из него есть выход или нет?
Хотя зачем тогда возможность указывать def.gateway на wan-phys?....



Хорошо, допустим данная схема работать не будет. Тогда вопрос второй:
Берем dlink, в стартовом визарде указываем что Инет подан через Public IP Ethernet. Клиенты LAN Инет получили.
Теперь создаем pptp-туннель с vpn-сервером на просторах Инета. Указываем ip, логин-пароль, и сеть за этим сервером - 192.168.12.0/23. Она там есть, это локалка главного офиса. Enable On-Demand еще делаем. Ставим галку "добавлять маршрут".
Пинга от клиента в сеть 12.0/23 нету. Туннель в состоянии closed. Почему он не поднимается, что еще нужно сделать?
Опять же замечу, что когда WAN и VPN-сервер в одной сети, то туннель работает...


Если на первый вопрос ответа может не быть, то на второй он быть обязан! Помогите, пожалуйста!!!

Ниже привожу читату из мануала на DFL-210.
Имеем DFL-210. Сброшенный в заводские настройки. После чего отконфигурированный визардом на Static Public IP. Более ничего не делалось.
Если выполнить нижеследующие действия, то моя задача решится?


Example: Configuring PPTP Client
This example describes how to set up a PPTP client. The PPTP server is
located at 10.0.0.1 and all trac should be routed over the PPTP tunnel.
WebUI
:
1. PPTP Client
First step is to configure the PPTP client.
Interfaces − > L2TP/PPTP Clients − > Add − > L2TP/PPTP
Client:
Enter the following:
Name: PPTPClient
Tunnel Protocol: PPTP
Remote Endpoint: 10.0.0.1 (The IP of the PPTP server)
Remote Network: 0.0.0.0/0 (all-nets, as we will route all trac into the
tunnel)
Username: The username provided to you by your service provider.
Password: The password provided to you by your service provider.
Confirm Password: Retype the password.
We keep the default settings for authentication and encryption. If
dial-on-demand is enabled, the tunnel will only be up when there is trac
on the PPTP client interface. It is possible to configure how the firewall
should sense activity on the interface, and how long time to wait with no
activity before the tunnel is disconnected. Then click OK
D-Link Firewalls User’s Guide
234 Chapter 22. VPN Protocols & Tunnels
2. Routes
The final step is to configure a single-host route to the PPTP server
over the WAN interface.
Routing − > Main Routing Table − > Add − > Route:
Enter the following:
Interface: WAN
Network: 10.0.0.1 (IP of the PPTP server)
Gateway: The gateway on the WAN network. None if no gateway is used.
Local IP Address: (None)
Metric: 0
Then click OK
When the configuration is saved and activated, the PPTP client should
connect to the PPTP server, and all trac (except trac to 10.0.0.1) should
be routed over the PPTP interface.

Не расстраивайтесь раньше времени. Ваша схема должна работать. Просто где-то что-то недоделано.

Не вникая в остальное, вот конкретно по этой цитате могу точно сказать, что Вы не правы. У меня WAN 10.x.x.x/8, внешний шлюз 10.72.56.1, а VPN-сервер в 85.21.0.x/24 и все прекрасно работает. У Вас не прописан роутинг до ВПН-сервера через шлюз на WAN-сети.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Dima G.
Да, надо было прописать маршрут на VPN-сервер через интерфейс WAN. Но этого мало.
Еще нужно правило NAT из lannet на интерфейс, который отображает созданный PPTP-туннель.

Еще, возможно, нужно правило allow отовсюду со всех интерфейсов на VPN-сервер. Тут не уверен, создал его в процессе экспериментов. Удалять пока не пробовал


Эксперимент проводился на стриме. Был ADSL-модем с адресом 100.100.100.1/30 на внутренем интерфейсе и включенным NAT. В него был включен DFL-210 с 100.100.100.2/30 на внешнем интерфейсе. Такая сеть выбрана умышленно, чтобы не попадать в диапазоны частных приватных адресов. Мало ли что... Типа это интернет...На внутреннем интерфейсе DFL-210 был тестовый компьютер.

Исходя из моих знаний, клиент не знает что находится на def.gateway. Ему все равно, NAT там или ROUTE. Клиент отправляет пакет на Инетовский адрес и получает их тоже из Инета(NAT не меняет source). Поэтому если заработало на этом стенде, то заработает и с реальным белым адресом на внешнем интерфейсе DFL-210.
Я ни в чем не ошибаюсь? Можно докладывать начальству об успехе?

Последний вопросик к знатокам DFL-210.

Итак, устройство устанавливает PPTP-туннель с VPN-сервером в Интернете. Весь трафик из LAN за устройством заворачивается в этот туннель. Понятно, что устройство получает у VPN-сервера некий IP.

Так вот, можно ли с VPN-сервера устанавливать соединение на этот IP?

Дело в том, что один из наших DLINK выходит в Инет через еще один LAN. То есть на внешнем интерфейсе у него 192.168.1.xx. И уже эта 1-ая сеть NAT'ится в Интернет.
Туннель с нашим VPN-сервером устанавливается, все хорошо. Но есть потребность удаленно настраивать DLINK, делать маппинг портов на внутренние хосты сети.
На WAN DLINK'a я, понятно, не попаду. А на виртуальный интерфейс PPTP-туннеля?

Что-то пока не получается...