1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 30, 2025 13:57

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 3
  [ Сообщений: 33 ]  На страницу 1, 2, 3  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
NerO_Padla
СообщениеДобавлено: Ср мар 05, 2008 14:46 
Не в сети

Зарегистрирован: Ср мар 05, 2008 13:59
Сообщений: 105
Откуда: Пермь
Ситуация следующая.
Firewall DFL-210. Wan подключен к XDSL со статичным IP. Lan к внутренней офисной сети. Задумка использовать DFL-210 как VPN(PPTP) сервер, для удаленных сетей.
Настроил практически все на примере FAQ. создал 2 PPTP сервера, 1 для локальных, 2 для удаленных машин. Подключение проходит на ура, однако компьютеры VPN сети, друг друга не пингуют(при чем как локальный-локальный, так и локальный-удаленный). А имеено в этом и нуждаюсь ! админить удаленные компьютеры с локального.
ip_pool 10.0.0.0/24
Суть проблемы фактически ламерская, FAQ на эту модель ограничевается настройкой PPTP сервера без конкретных примеров, если FAQ все-же есть киньте ссылку.

_________________
Не верь, Не бойся, Не проси
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 05, 2008 15:05 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Создай для начала правило вида

Allow_pptp Allow pptp_if ip_pool pptp_if ip_pool all_services

где
pptp_if - интерфейс pptp
ip_pool - пул выделяемых клиентам адресов

и клиенты одного и того же сервера запингуют друг друга. Ну а дальше дело пойдёт.

А правило вида

Allow_pptp Allow lan_all lannet lan_all lannet all_services ,
где lan_all - группа интерфейсов lan и всех pptp-интерфейсов.

возможно покроет все твои потребности. Тут есть излишки, но такая экономия на правилах! :)


Последний раз редактировалось YuriAM Ср мар 05, 2008 15:46, всего редактировалось 3 раз(а).

Вернуться наверх
 Профиль  
 
Justicet
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 05, 2008 15:08 
Не в сети

Зарегистрирован: Пт янв 11, 2008 11:32
Сообщений: 33
Откуда: Тула
Подозреваю вот что (если не так опровергни):
1 сервант, локальный, для подключки юзеров к инету, так?
2 серванта для внешних юзеров.
ВСЕ имеют разные группы адресов так?

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30
Вернуться наверх
 Профиль  
 
NerO_Padla
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 05, 2008 15:34 
Не в сети

Зарегистрирован: Ср мар 05, 2008 13:59
Сообщений: 105
Откуда: Пермь
YuriAM писал(а):
Создай для начала правило вида

Allow_pptp pptp_if ip_pool pptp_if ip_pool all_services

Allow_pptp lan_all lannet lan_all lannet all_services ,


А можно в удобоваримом виде, пожалуйста :)

Action - allow
Service - Al ser.

Source
Interface - ?
Network - ?

Destination ?
простите меня темного, 2й день работаю с D-link.

_________________
Не верь, Не бойся, Не проси
Вернуться наверх
 Профиль  
 
NerO_Padla
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 05, 2008 15:45 
Не в сети

Зарегистрирован: Ср мар 05, 2008 13:59
Сообщений: 105
Откуда: Пермь
Justicet писал(а):
Подозреваю вот что (если не так опровергни):
1 сервант, локальный, для подключки юзеров к инету, так?
2 серванта для внешних юзеров.
ВСЕ имеют разные группы адресов так?

пул адресов общий
1 сервак для локальных подключений
2 сервак для внешних

_________________
Не верь, Не бойся, Не проси
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 05, 2008 15:49 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
NerO_Padla писал(а):
А можно в удобоваримом виде, пожалуйста :)


Да, действие то Allow я пропустил. :)

Allow_pptp Allow pptp_if ip_pool pptp_if ip_pool all_services


Action - allow
Service - Al services

Source
Interface - pptp_if
Network - ip_pool

Destination
Interface - pptp_if
Network - ip_pool
Вернуться наверх
 Профиль  
 
NerO_Padla
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 05, 2008 16:44 
Не в сети

Зарегистрирован: Ср мар 05, 2008 13:59
Сообщений: 105
Откуда: Пермь
Благодарствую сосед! Локальные компы действительно друг друга запинговали.
Однако с правилом для удаленных непонятки:
YuriAM писал(а):
Создай для начала правило вида
Allow_pptp Allow lan_all lannet lan_all lannet all_services ,
где lan_all - группа интерфейсов lan и всех pptp-интерфейсов.

Все PPTP интерфейсы это IP_pool, стало быть группа интерфейсов это IP4 group. Но в качестве интерфейса она не рассматривается :( только как сеть...
при создании Ethernet adress group он не видит ни одного доступного интерфейса :(

_________________
Не верь, Не бойся, Не проси
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 05, 2008 17:01 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
NerO_Padla писал(а):
...
Все PPTP интерфейсы это IP_pool, стало быть группа интерфейсов это IP4 group. Но в качестве интерфейса она не рассматривается :( только как сеть...
при создании Ethernet adress group он не видит ни одного доступного интерфейса :(
Чтобы все понимать, укажи названия pptp интерсейсов, их пулы адресов и lannet.

У меня один pptp сервер и его пул адресов лежит внутри lannet.

Группы интерфейсов создаются здесь:
Interfaces ->Interface Groups
Вернуться наверх
 Профиль  
 
NerO_Padla
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 05, 2008 17:39 
Не в сети

Зарегистрирован: Ср мар 05, 2008 13:59
Сообщений: 105
Откуда: Пермь
Все разобрался! сделал немного по другому:
создал 2 правила между PPTP серваками, разместил оба правила в IP_pool
Осталось выдать статический IP каждому клиенту и будет мне счастье

_________________
Не верь, Не бойся, Не проси
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
СообщениеДобавлено: Ср мар 05, 2008 20:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
NerO_Padla писал(а):
Ситуация следующая.
Firewall DFL-210. Wan подключен к XDSL со статичным IP. Lan к внутренней офисной сети. Задумка использовать DFL-210 как VPN(PPTP) сервер, для удаленных сетей.
Настроил практически все на примере FAQ. создал 2 PPTP сервера, 1 для локальных, 2 для удаленных машин. Подключение проходит на ура, однако компьютеры VPN сети, друг друга не пингуют(при чем как локальный-локальный, так и локальный-удаленный). А имеено в этом и нуждаюсь ! админить удаленные компьютеры с локального.
ip_pool 10.0.0.0/24
Суть проблемы фактически ламерская, FAQ на эту модель ограничевается настройкой PPTP сервера без конкретных примеров, если FAQ все-же есть киньте ссылку.


Данный faq именно для доступа удаленных пользователей. Для установки PPTP lan to lan и доступа пользователей нужен один PPTP сервер. Пример настройки PPTP lan to lan можно посмотреть тут ftp://ftp.dlink.ru/pub/FireWall/_rus_%2 ... Format.pdf
Вернуться наверх
 Профиль  
 
Justicet
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 07, 2008 15:05 
Не в сети

Зарегистрирован: Пт янв 11, 2008 11:32
Сообщений: 33
Откуда: Тула
я, видимо, совсем лох!
настроил все как и описывается в мануале "D-LINK - Как настроить PPTP-сервер для удаленных пользователей_.htm" Делается это для администрирования своей сети снаружи.
Описываю так как понимаю - если не прав, поправьте:

1. Создаем сервак РРТР:
pptp_serv_fru - имя
Inner IP Address:=pptp_serv_adr
Tunnel Protocol:=PPTP
Outer Interface Filter:=wan
Server IP:=wan_ip

В итоге получаем: Interface Status pptp_serv_fru
IP Address: 192.168.1.30 # адрес самого серванта
Link Status: Server listening on 87.244.2.86 # сервант слушает этот адрес
Type : Server tunnel
Interface filter: wan # слушаемый интерфейс
IP Pool : 192.168.1.31-.45 # пул адресов, предоставленный удаленным юзерам
при подключении, судя по логам, все происходит нормально, юзер получает адрес из выделенного пула

2. AdressBook:
wan_ip = 87.244.2.86
pptp_serv_adr = 192.168.1.30
remote_user_pool = 192.168.1.31-192.168.1.45
lan_ip = 192.168.1.1
lannet = 192.168.1.0-192.168.1.29 #специально ограничил так сеть для експеримента, когда не ограничиваю - все равно даже пинги не ходят

3. IP Rules: PPTPServ
из сети на сервер: allow_all Allow lan lannet pptp_serv_fru remote_user_pool all_services
и наоборот: allow_all_in Allow pptp_serv_fru remote_user_pool lan lannet all_services

4. Local User Databases: RemoteUser
test all-nets

5. Authentication my remote users:
pptp_serv_rem_us PPP Local pptp_serv_fru
Originator IP:all-nets
Terminator IP:wan_ip

Даже когда создаю правило ( Allow_pptp Allow lan_i_pptp_if lan_i_pptp_addr lan_i_pptp_if lan_i_pptp_addr all_services - lan_i_pptp_if = группа интерфейсов pptp_serv_fru+lan, а lan_i_pptp_addr = группа адресов lan + remote_user_pool) - один пес - судя по логам все блокирется:

2008-03-07
15:00:06 Warning RULE
6000051 Default_Rule GRE wan
217.170.117.122
87.244.2.86
ruleset_drop_packet
drop
ipdatalen=116

2008-03-07
15:00:05 Info CONN
600002 Stock_Allow_All_Rule GRE core
wan 87.244.2.86
217.170.117.122
conn_close
close
conn=close connsrcid=0 conndestid=0 origsent=722 termsent=776

Отчет от моего друга - который пытался подключаться - "причем 247 пакетов как вкопаное число при всех попытках дропается"

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 11, 2008 08:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
У вас дропается GRE, посмотрите в Advanced Settings, стоит ли галочка на PPTP Before Rules.
Вернуться наверх
 Профиль  
 
NerO_Padla
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 12, 2008 09:11 
Не в сети

Зарегистрирован: Ср мар 05, 2008 13:59
Сообщений: 105
Откуда: Пермь
Вопрос такой: Возможно ли сделать связку из нескольких DFL-210 по VPN ?
Подробнее:
возьмем для начала 2 фаервола, в данном случаи VPN сервера.
делаю все по аналогию этого FAQ ftp://ftp.dlink.ru/pub/FireWall/_rus_%2 ... Format.pdf . Только сеть за обоими фаерволами это общий пул адресов например - ip_pool 10.0.0.0/24 то есть в идеале я хочу что-бы клиента с обоих PPTP серверов друг друга пинговали... пока ничего не получаеца :( вот и возникает вопрос, реализуемо ли это вообще ? и если да, то быть может существует более близкий к моей задаче FAQ ?

_________________
Не верь, Не бойся, Не проси
Вернуться наверх
 Профиль  
 
martemenko
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 12, 2008 09:18 
Не в сети

Зарегистрирован: Ср апр 20, 2005 19:39
Сообщений: 222
Откуда: Кишинёв
Мудохался долго, В конечном итоге удалось реализовать через нат.
Создаёшь для каждой удалённой подсети по одному айпишнику из требуемой сети. В правилах создаёшь нат правило с подстановкой этого айпишника.
Вернуться наверх
 Профиль  
 
NerO_Padla
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 12, 2008 09:23 
Не в сети

Зарегистрирован: Ср мар 05, 2008 13:59
Сообщений: 105
Откуда: Пермь
Момент...
Для каждой удаленной сети я создаю на своем DFL-210 wan1(2,3,4,5) ip удаленного DFL-210 ? и все-равно не понятно как поместить всех клиентов со всех DFL-210 в 1 общий пул адресов

_________________
Не верь, Не бойся, Не проси
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 3
  [ Сообщений: 33 ]  На страницу 1, 2, 3  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 285

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB