Доброе время суток.

Возникло пару вопросов по работе DI-804HV.

Имеются центральный и удаленные офисы. В центре стоит Cisco, в удаленных DLink.
Все работает через IPSec.
1. Можно ли на Dlink-ах организовать подобие ACL для тунельного трафика.
Т.Е. примерно следующее:
DLINK ( LAN 192.168.10.0/28 ) <----> CISCO ( LAN1-172.16.10.0/24, LAN2-192.168.X.X/24 )
permit ip LAN LAN1
permit ip host 192.168.10.Y host 192.168.X1.X2

Попытка сделать два туннеля (отдельно для первого и второго правила) ничего
хорошего не дало. (работает только первый туннель) В SysLog-ах DLinka даже нет
попыток организовать второй. (Preshare Key и Remote Gateway для обоих туннелей
одинаковы).

2. Второй вопрос по режиму SPI.
Если SPI enable, то при попытке доступа к внешним ресурсам (SMTP,POP3,Citrix,PPTP
другое не пробовал) DLlink блокирует входящие пакеты. В syslog пишется примерно
следующее:

Blocked access attempt from X.X.X.X:23 to TCP port 57271
Blocked access attempt from X.X.X.X:25 to TCP port 57273
Blocked access attempt from X.X.X.X:110 to TCP port 57274
Blocked access attempt from X.X.X.X:1494 to TCP port 57275
Blocked access attempt from X.X.X.X:1723 to TCP port 57279

Если SPI disable, то все работает.

Если можно объясните данную ситуация.

PS Версия FW была (1.38 и 1.40)

Второй туннель делать не надо, список доступных хостов (удаленных) можно задать в файрволе, для локальных - в IPSec filter

А после замены прошивок делался сброс в установки по умолчанию ?

Простите не понял, что значит список доступных хостов (удаленных) можно задать в файрволе, и где в DLink IPSec filter.




После сброса все заработало.

1. В файрволе можно задать правила, которые будут ограничивать список доступных хостов в удаленной сети
2. в Advanced - > Filter - > IPSec Filter. В нем можно ограничить локальные машины

Хорошо спросим по другому. Можно ли у делинка организовать тунель или тунели (IPSec), которое сводилось к объединению трафика. Чтобы пользователь в локалке со строноны делинка имел доступ к различным удаленным локальным сетям, находящихся за одним и тем же удаленным роутером.

Можно, разница в настройках тунелей только в указании Remote Subnet ну и соответсвенно на удаленном роутере необходимо все правильно разрешить. У меня на центральном роутере более 20 подсетей (правда не Cisco), в филиалах используются 804 и 824 роутеры. Прописывал в филиальном D-link-e до 5 туннелей чтобы увидеть 5 подсетей за центральным роутером, уверен, что можно было бы и больше, но задача не стояла.

Ну и странный этот зверь. Все собственно так и делалось.

Только после повторной прошивки и сброса установок по умолчанию все заработало.