Здравствуйте.

Если настроить IPsec/L2TP/PPTP сервер (дает доступ в lannet) на wan интерфейсе, можно ли будет зайти на него с lan интерфейса (lannet)? (Через соотв. роутинг на wan_ip, конечно.)

Пробовал такие варианты:

1. L2TP+IPsec (т.к. Windows XP): все заканчивается по time out на клиенте. В логах DFL -- только open_socket 500 (UDP).

2. PPTP: port 1723 (точно не помню) -- connection dropped. Это странно, т.к. в настройках L2TP/PPTP Servers стоит галочка "process before IP rules".

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Через wan PPTP работает нормально. Получается, что через lan тестировать работу VPN-сервера на wan нельзя
С L2TP+IPsec пока разбираюсь, но, скорее всего, проблема в настройках клиента.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Я предполагаю, что соответствующими правилами этого можно добиться. Но пробовать в лом, т.к. все не под рукой.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Что-то я сомневаюсь в этом, т.к. маршрут получится такой: lannet -> [?] wan -> [/?] VPN(wan) -> lannet.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Как настроить L2TP over IPSec http://www.mediafire.com/download.php?vznqzyyg2y1

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Сергей,

Я настраивал DFL очень похожим образом, только использовал "Hexadecimal Key", вместо "Passphrase". Самое лучшее, что получилось, это "ike_failed" с "invalid passphrase" (дословно не помню). Начал настроивать политику IPSEC на клиенте (WinXP), но еще не тестировал.
Потом попробую по Вашей презентации. О результатах отпишусь.

Еще вопрос: я так понял, что в DFL-210 3DES/AES реализован программно. В какой модели DFL есть аппаратная реализация?

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Насколько мне известно, он аппаратный. Заявленное быстродействие 25 МБит/c для DFL-210 и 60 МБит/c для DFL-800.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В общем, как я уже писал, настраивал так же, но с одним исключением: на DFL указывал "Hexadecimal Key", а WinXP его передает строкой без преобразования hex -> bin, даже если указать "0x" префиксом.

Презентация -- отличная! Ее обязательно нужно положить в FAQ.

Правда, у меня есть несколько замечаний. Самое существенное: если в настройках L2TP-сервера в разделе "Proxy ARP" не поставить галочку на "Always select ALL interfaces...", то внутреннюю сеть не видно. Точно помню, что ping'и на машинку внутри сети не ходили. С галочкой все работает.
Остальные напишу позже.

Спасибо.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Я прочитал вот этот ответ службы поддержки:



Вот и возник вопрос.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Резонный вопрос. Мне казалось я где-то читал об аппаратной реализации, но мог и спутать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В обзоре на хоботе написано, что DLF-210 сделан на базе процессора Intel IXP422. Вот здесь написано, что процессор Intel IXP422 имеет Integrated hardware acceleration of popular cryptography algorithms (SHA-1, MD5, DES, 3DES, AES) for secure applications. Команда hwaccel в консоли возвращает пустой список. А что она возвращает на DFL-800?

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

то же самое

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

а можно на FTP ваш это файл выложить?

в DFL-1600 установлен модуль аппартного шифрования.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

еще раз прошу перевыложитьэтот файл. ссылка битая.