В главном офисе есть 1 реальный внешний IP адрес, доступный из любого места inetrnet, в остальных офисах внешних IP нет, есть только ip адреса, выделенные провайдером в своей внутренней сети типа 10.х.х.х. При помощи какого оборудования получится настроить VPN каналы между допофисами и главным офисом? Можно ли для этого использовать связку DFL-100 в главном офисе и DI-804HV в допофисах? или необходимо использовать связку DFL-100 <-> DFL-100? Связать офисы с помощью 2х DI-804HV не удалось - в логах есть сообщения о посылке ключей, но нет сообщений о принятии ответов. Может есть еще какие-нибудь продукты D-Link, специально предназначенные для работы в таких условиях?

у нас так работают 2 804hv шлюза так что очевидно с ними тоже можно. Если у тебя какой-то глобальный затык происходит то ничто тебе не поможет и зря только потратишь деньги.
однако если начальный обмне обнспечивается то вероятно не все потеряно. для установления канала между реальным ip и серым требуется чтоб начинал процесс серый адрес. кроме того требуется указывать удаленный гейтвей серого конца, а указать его серый адрес нельзя. Для клиента есть хороший выход- регистрируешь на
no-ip.com бесплатный домен и ставишь на компе клиента спецпрогу для оповещения dns службы о твоем текущем адресе. После этого надо вместо ip удаленного гейтвея вписать бесплатный домен. При этом пакеты будут доходить до шлюза в серую сеть и через открытую сессию nat будут попадать на di-804hv и канал будет подниматься.
А если у тебя нет никакого адреса или домена то куда устройство с реальный ip должно отправлять ответные пакеты? Вот ничего и не пашет.

Хорошо, тогда надо рассказать полную историю. Сначала у меня было 2 железки - 2 DFL-100. Один стоял в главном офисе, 2ой - в допофисе, у которого тоже был реальный IP. Канал поднимался на раз два три - это и понятно, оба IP реальные, мануал по настройке прочитан. После этого железку из одного первого допофиса перебрасывают в другой, использующий серые IP адреса. Железка, стоящая в допофисе перестраивается и канал опять поднимается. DFL-100, стоящий в главном офисе никоим образом не переконфигурируется. Канал опять работает. После этого появляются 2 804HV. Один устанавливается в главном офисе, другой во 2ом допофисе с серыми адресами. Канал не поднимается - в логах сообщения только о посылке ключей. По-быстрому по телефону попытались настроить канал между 804HV и DFL-100, но ничего не получилось - может мы с сотрудником главного офиса друг друга по телефону не поняли. В логах 804HV уже появляются сообщения о посылке ключей и записи типа recieve 10.х.х.х <-> х.х.х.х. Вот поэтому и возник этот вопрос.

_________________
DI-604/804/808

Расскажите поподробнее про маршрутизацию. То есть каким образом "серые" (немаршрутизируемые) адреса получают доступ к центральному офису с честным адресом?

_________________
С уважением -- Александр Шебаронин.

решением этой проблемы мы просто не занимались, после настройки канала просто проверили доступ на необходимые сервера и все.


вот что появляется в логах при попытке связать DFL-100 и 804HV

01/21/2005 15:18:09 Send IKE M1(INIT) : 10.0.1.2 --> x.x.x.x
01/21/2005 15:18:10 Receive IKE INFO : x.x.x.x --> 10.0.1.2
01/21/2005 15:18:10 Send IKE (INFO) : delete 10.0.1.2 -> x.x.x.x
phase 1
01/21/2005 15:18:10 IKE phase1 (ISAKMP SA) remove : 10.0.1.2 <-> x.x.x.x
01/21/2005 15:18:11 Send IKE M1(INIT) : 10.0.1.2 --> x.x.x.x
01/21/2005 15:18:11 Receive IKE INFO : x.x.x.x --> 10.0.1.2
01/21/2005 15:18:11 Send IKE (INFO) : delete 10.0.1.2 -> x.x.x.x
phase 1
01/21/2005 15:18:11 IKE phase1 (ISAKMP SA) remove : 10.0.1.2 <-> x.x.x.x