буквально на днях взяли эту черную коробочку вместо старого линуксового шлюза, который достойно умер.
используется dual-access, роутер получает по dhcp у провайдера свой адрес, далее по pptp конектится к удаленной циске, на которой поднят vpn-сервер. на этом этапе проблем нет, несмотря на lease time провайдера в 2400сек (40мин). роутер обновляет адрес без видимой потери содинения, либо циска просто не успевает понять, что клиент пропал ;) как это влияет на работу клиентов пока непонятно, отзывов нет.

далее никакие настройки не трогались, кроме запрета в фаерволе внутренним клиентам лазить куда либо кроме удаленной подсетки (192.168.8.0/24 - локалка, 192.168.0.0/16 - удаленная сеть)
очень непривычно выглядят правила для фаера. чтобы осуществить вышеописанное действие а голову пришло 2 варианта (основываясь на ничем не ограниченном исходящий траффике, о чем, кстати, нигде явно не сказано):
первый:
- траф из LAN 192.168.8.1-192.168.8.254 в WAN 1.1.1.1-192.167.255.254 - запретить
- траф из LAN 192.168.8.1-192.168.8.254 в WAN 192.169.1.1-254.255.255.254 - запретить
то есть оставляем дырку, а остальное режем.
второй:
- траф из LAN 192.168.8.1-192.168.8.254 в WAN 192.168.0.1-192.168.127.254 - разрешить
- траф из LAN 192.168.8.1-192.168.8.254 в WAN 1.1.1.1-254.255.255.254 - запретить
это для простого правили одинакого получается, а если чуть сложнее взять?

очень не хватает чего-то вроде правил allow all или deny all. либо при незаполненных полях IP адреса считать, что имеется ввиду весь траффик с/на указанный интерфейс.

да, и как работают порядок правил? сверху вниз, или до первого попадания? в любом случае, отсутствие возможности менять порядок правил ужасно мешает, приходится записывать настройки в файл, редаетировать его вручную, а потом заливать обратно.


далее, возникла обычная необходимость в связи между филиалом и головой. филиал после подключения свободно имеет доступ в сеть головного офиса, на циске все маршруты прописаны, лазь куда угодно в пределах разрешенного. а вот обратная дорога оказалась тернистей некуда.
с локальной сетки без проблем пингуется сама удаленная циска, все компы в удаленной сети. из удаленной сети пинг проходит только на IP роутера, который он получил от циски.
после прописывания на циске маршрута до сетки роутера (по аналогии с остальными, что-то вроде add route 192.168.8.0/24 192.168.21.1) в логах роутера появились записи о срабатывании фаервола на пинги, хотя правил на входящий траф ни одного не было. я решил, что срабатывает общий входящий запрет (о котором кстати тоже нигде не сказано), добавил правило:
- траф из WAN 192.168.0.1-192.168.127.254 в LAN 192.168.8.1-192.168.8.254 - разрешить
однако это не помогло. добавил также адрес циски, затем внешний IP - увы, без эффекта.

тогда в роутере отключил NAT совсем. все заработало в обе стороны, однако минусов оказалось намного больше.
во-первых, пропала возможность изменять конфигуацию роутера через внешний IP, только когда он создал туннель можно им рулить. если VPN соединение по каким-либо причинам отвалилось, то придется вставать и ехать на точку.
во-вторых, пропала возможность вообще использовать внешний IP для развертывания всяких WWW или FTP сервисов. не смертельно, но все же.
в-третьих... пока не придумал ;)

собственно, вопросы:
- как при включенном NAT-е организовать полную обратную связь через поднятый туннель, возможно ли это?
- как ограничить доступ к выведенным наружу портам для определенного списка адресов? такое подозрение, что Port Forwarding перекрывает любые фаервольные правила.
- отсутствие Virtual Servers можно компенсировать ручной правкой конфига, это сделано для разделения моделей или просто недоработка? например доступ к роутеру по телнету без проблем выносится на любой выбранный внешний порт, а то по стандартному уж очень много народу ломится. с диапазоном еще не пробовал.
- отсутсвие в настройках возможности отсылки логов - это тоже следствие небольшой цены? а то обнаружил в конфиге параметры LOG_SYS_IP=0.0.0.0 и LOG_MAIL_IP=0.0.0.0, и уж очень хочется их потрогать ;)
- и напоследок, при ребуте роутера постоянно сбрасывается время. автонастройка не работает, ибо роутеру запрещено выходить куда-то кроме адреса удаленной сетки, а своего ntp сервера пока нет. поэтому приходится все время его восстанавливать. и непонятно, что произойдет, если просто отключат питание, например.

с уваженим и ожиданием ответов

добавление:

померял тут скорость передачи. роутер через pptp соединился с удаленным офисом, к нему подключен только 1 комп. с этого компа в удаленную сеть скорость не поднимается выше 200Кб/с, обратно не больше 800Кб/с.

без туннеля - 5-6Мб/с в обе стороны. реанимировали старый линуксовый комп, который поднимал туннель раньше, скорость не падает что сквозь туннель, что в обход него, то есть дело не в удаленном VPN-сервере.

это ограничение платформы? или просто софтовая неполпдка?

Невозможно


Также невозможно


Если Вы имеете ввиду возможность указания разных Public Port и Private port при проброске портов, то это планируется реализовать в следующей версии прошивки.


Отсылка логов не предусмотрена, планов по добавлению пока нет.


В устройстве нет батареек и без питания часы не ходят.


У меня скорость составила порядка мегабайта в секунду, но это без настройки маршрутизации, файервола и виртуальных серверов. Думаю, что у Вас предел аппаратных возможностей роутера.

благодарю за ответы.

Цитата:

Цитата:

- как ограничить доступ к выведенным наружу портам для определенного списка адресов? такое подозрение, что Port Forwarding перекрывает любые фаервольные правила.

Также невозможно

в FAQ-е вычитал (http://www.dlink.ru/technical/faq_internet_30.php):
Как пример, рассмотрим настройку правил файрвола для разрешения доступа к внутреннему web-серверу (предоставляемому через функцию "Virtual Server") только компьютерам из определенной подсети (например, подсеть филиала).
не думал, что у устройств с одинаковой ценой и похожим позиционированием сильно отличаются функции.

Цитата:

Если Вы имеете ввиду возможность указания разных Public Port и Private port при проброске портов, то это планируется реализовать в следующей версии прошивки.

да, все верно. тем более дело всего лишь в интерфейсе, как я понял.

Цитата:

Отсылка логов не предусмотрена, планов по добавлению пока нет.

ясно. нужна более дорогая модель ;)

Цитата:

В устройстве нет батареек и без питания часы не ходят.

можно, наверное, в описание устройства включить этот пункт, хотя, согласен, не смеретльно.

Цитата:

У меня скорость составила порядка мегабайта в секунду, но это без настройки маршрутизации, файервола и виртуальных серверов. Думаю, что у Вас предел аппаратных возможностей роутера.

вобщем, при использованиии Dual-Access-а с PPTP в организациях использовать роутер не выгодно. как вариант, для дома для семьи более подходит, на 2-3 домашних компьютера.

тогда еще один вопрос: при использование двух DIR-100 снизится ли нагрузка? то етсь один подключается к провайдеру, натит сетку и мапит порты, а второй только для туннелирования будет использоваться. или более 10Мбит через туннель все равно не получится добиться?

была бы возможность потестировать заранее, не спрашивал бы, но увы, такой возможностью не обладаю.