Добрый день! Есть задача: три хостинга с серверами, около 40 небольших сетей филиалов; необходима "центральная железка", к которой IPSec-туннелями подцеплены хостинги и сети филиалов. Соответственно, через эту железку каждому из филиалов должны быть доступны серверы на хостингах. Вопрос: подходит ли DFL-210 для этого? Может, есть более подходящий вариант? Потянет ли она эти 40+ загруженных туннелей? Сейчас все это тянет роутер под Debian, но хочется перейти на аппаратное решение. Буду рад советам по решению задачи; цена имеет значение.

Сомневаюсь, что сможет потянуть. У него может элементарно не хватить оперативной памяти для 40+ тоннелей. Обязательно дождитесь ответа официальной поддержки или позвоните в Ваш офис Д-Линк.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

У устройства общая производительность IPSec 25 Мбит/с, разделите её на ваши 40+, для вашего случая минимум DFL-1600, желательно DFL-2500, только с DFL-2500 у вас будет производительность по IPSec с таким количеством тоннелей на приемлемом уровне.

DFL-2500, 1600 дороговаты для этой задачи.
Готов попробовать DFL-800, но в FAQ обнаружил, что DFL-800 (210,1600,2500) не входят в список файрволлов, маршрутизирующих трафик между IPSec-туннелями.
Может, список неполный? Судя по описаниям этих устройств, они должны уметь маршрутизировать трафик между сетями "за туннелями".
Если не умеют -- предложенные DFL-2500 (1600,800) не подходят для решения задачи, т.к. требуется именно доступ из сетей филиалов в сети хостингов, и все они подключены по IPSec-туннелям.

Что за странную информацию Вы нашли? Cсылочку и цитату киньте, пожалуйста.

При правильно настроенных IPSec тоннелях они будут нормально все маршрутизирвать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

http://www.dlink.ru/technical/faq_firewall_15.php

"В: Какие из межсетевых экранов D-Link могут маршрутизировать трафик между IPSec-туннелями?
О: DFL-200, DFL-700, DFL-900, DFL-1100, DFL-1500"

Это старая серия, новая тоже это делать умеет. Еще раз повторю, DFL-800 будет недостаточно для ваших требований, можете его попробовать, но вы предупреждены.

Спасибо, приму предупреждение во внимание.
Под рукой есть DFL-800, DI-804HV, DI-824VUP, потренируюсь. Как я понял, ОС в DFL-800 и более старших моделях фактически одна и та же. Исчерпаю производительность DFL-800 -- приобретем железку помощнее и настрою ее идентично.

Нашел несколько тем по настройке IPSec-туннелей Lan-to-Lan.
В моем случае особенность в том, что "клиентские" 804/824 могут иметь приватный WAN (такие выдают местные провайдеры), и, соответственно, вписать внешний IP в настройки IPSec-туннеля не получается.

FAQ http://dlink.ru/technical/faq_vpn_25.php прочитал, но вопрос тот же: что писать, когда WAN DI-804 приватный?

Попробовал настроить IPSec-туннель DFL-800<->DI-804, в логе DI-804 наблюдаю:

Wednesday May 07, 2008 01:09:09 Send IKE M1(INIT) : 10.20.x.x --> 81.13.x.x
Wednesday May 07, 2008 01:09:09 Receive IKE INFO : 81.13.x.x --> 10.20.x.x
Wednesday May 07, 2008 01:09:15 IKED re-TX : INIT to 81.13.x.x
Wednesday May 07, 2008 01:09:15 Receive IKE INFO : 81.13.x.x --> 10.20.x.x
[...]
Wednesday May 07, 2008 01:10:01 Send IKE (INFO) : delete 10.20.x.x -> 81.13.x.x phase 1
Wednesday May 07, 2008 01:10:01 IKE phase1 (ISAKMP SA) remove : 10.20.x.x <-> 81.13.x.x

В логе DFL-800:

Bad logmsg: [2008-05-07 01:09:08] <6>FW: IPSEC: prio=1 Phase-1 [responder] between ipv4(any:0,[0..3]=81.13.x.x) and ipv4(any:0,[0..3]=80.240.x.x) failed; No proposal chosen.

Может быть связано с разными "внешними" адресами клиента (10.20.x.x != 80.240.x.x), или это другая проблема?

10 подсеть это приватный адрес, в этом случае надо настроить динамический IPSec на DFL, сделать это можно так, убрать remote endpoint, remote network выставить all-nets, далее на вкладке advanced снять галочку с Add route for remote network, на вкладке routing поставить галочку на Dynamically add route to the remote network when a tunnel is established, на DI оставьте стандартные настройки, только обязательно включите функцию NAT Traversal.

P.S. При такой конфигурации тоннель должен подниматься только со стороны DI.

А как сделать так, чтобы на DI-804 появился маршрут более чем в одну сеть, находящуюся за DFL-800? В Advanced->Routing можно явно прописать маршрут, но я так и не понял, какой указывать при этом gateway, а в списке интерфейсов IPSec-туннели не появляются. Может, это можно в другом месте указать, или вообще на DFL-800, каким-то "push"-механизмом переслать на DI-804 маршруты?

Тут придется оперировать на DI параметрами remote network и remote subnet надо подобрать такую маску и сеть чтоб туда обе сети попали.

Проверил, все ок. Большое спасибо!
Туннель из приватной сети 10.*.*.* поднимается и нормально работает при снятой галочке "IPSec NAT Traversal", при включенной -- не работает. Это несколько странно.

Насчет маршрутов в разные подсети: я правильно понимаю, что можно просто организовать несколько туннелей параллельно, каждый в свою подсеть? Не очень красиво, но не потребует смены адресов за DFL-800 (там довольно сложная сеть). По опыту, DI-804 + DFL-800 будут нормально работать с несколькими туннелями между одними и теми же адресами?

И еще, достаточно ли создать одно описание IPSec-туннеля в центральной точке для всех входящих соединений с DI-80x (т.е. будет ли оно "клонироваться" для каждого нового подключения), или надо на каждый офис описывать свой туннель?

Вы сможете поднять только один тоннель между DI и DFL, поэтому придется подбирать по маске.



При желании, вы можете настроить dynamic IPSec, чтоб не настраивать множество тоннелей, только это менее безопасно.