Есть сервер 2003 (DC) , на котором работает стандартный VPN-сервер и служба маршрутизации для внутренней сети, через него внутренние клиенты выходят в инет, к нему же подключаются 2 внешних офиса через VPN обычными клиентами из WIN'XP.

Проблема есть в том, что при подключении из удаленного офиса, машина с WINXP теряет связь с местной сеткой. Для этого и был куплен DI-808-HV - чтобы подключать не одного клиента, а всю сеть сразу.

Маршрутизатор надо настроить так чтобы удаленный офис стал сегментом головной сети, но соединение устанавливалось только по требованию удаленного офиса, а не централизованного. При этом должна присутсвовать связь между машинами удаленного офиса независимо от состояния VPN-туннеля.

Сервер в головном офисе должен работать так, чтобы и клиенты могли к нему подключаться (вводя логин/пароль из домена(никаких сертификатов)), и маршрутизаторы.

сеть в головном офисе:
адреса 192.168.0.0-49
маска 255.255.255.0

выход в головном офисе:
фиксированный IP с прямым доступом, firewall'а у провайдера нет, есть свой на сервере.

аттрибуты VPN-сервера в головном офисе:
раздача адресов клиентам из 192.168.0.100-199
c маской 255.255.255.0

удаленный офис 1:
адреса 192.168.0.50-59
маска 255.255.255.0
имеет сетевой принтер, которого теряет при подключении VPN
при подключении через VPN-клиента WINXP теряет любая машина теряет локалку и получает 192.168.0.100-199 c маской 255.255.255.0
инет - 100Mb по витой (адрес только один)
Для этого офиса и взяли DI-808 HV

удаленный офис 2:
адреса 192.168.0.60-69
маска 255.255.255.0
имеет сетевой принтер, которого теряет при подключении VPN
при подключении через VPN-клиента WINXP теряет любая машина теряет локалку и получает 192.168.0.100-199 c маской 255.255.255.0
инет - ADSL-роутер (провайдерский, управлять не могу. дает доступ всем кто в него воткнется с адресом 192.168.0.* и шлюзом 192.168.0.254)

Самое главное:
Удаленные офисы пользуются своими каналами для выхода в Инет и не должны шлюзоваться через головной офис. Должна работать служба терминалов (ICA).

А теперь вопрос - как это все реализовать? Возможно ли в такой конфигурации, или чего-то докупить? Как надо настроить/переделать сервер MS Server 2003.

_________________
Жизнь это болезнь, передающаяся половым путем, с неизбежным летальным исходом.

Какой тип VPN подразумевается под "стандартным" ?
Если IPSec , то при таком назначении адресов работать не будет - в уд. офисах подсетки д.б. другими.

получающие адреса из диапазона той же подсети, что и внутренняя сеть? Стандартный VPN-сервер - есть сервер удаленного доступа, организованный входящими в MS Server 2003 средствами.

И потом вопрос ставился так: что надо сделать чтоб оно работало так как требуется. Замена подсетей это мелочный, легко изменяемый и не обсуждаемый вопрос, дайте ответы на более глобальные вопросы. Или укажите ссылку на FAQ с этой, а не с подобными темами.

А то как связать два своих устройства - расписывают для дураков, а вот более насущный вопрос - как связать ваше устройство с другими распространенными системами - мол, да все и так знают, и молчат.

Задача проста как день - повторю:

DI-808-HV должен стать VPN-клиентом к VPN-серверу MS Server 2003.
Этот роутер должен дать внутренним клиентам (WIN'XP) доступ аналогичный тому, как если бы каждая внутренняя машина сама соединялась c этим VPN-сервером. При этом клиенты должны общаться с соседними машинами средствами своей локалки, видеть компьютеры в удаленной сети, выходить в Инет через свой роутер, а не через шлюз в удаленной сети.

Вот такая задача.
Ответьте, пожалуйста, вразумительно, не задавая лишних вопросов, если где-то я не прав - поправьте. Если это нереально сделать в предлагаемой конфигурации/комплектации - скажите, что для этого надо перенастроить/купить.

Если получится, отпишусь, и заранее советую положить в FAQ и инструкции на оборудование.

_________________
Жизнь это болезнь, передающаяся половым путем, с неизбежным летальным исходом.

Для решения задачи необходимо отказаться от использования VPN по PPtP и подключать DI-808-HV к MS Server 2003 по IPSec. VPN IPSec туннель необходимо устанавливать между DI-808-HV и MS Server 2003. Для клиентов в удаленных офисах подключенных в к DI-808-HV выход что в Интернет, что в локальную сеть за MS Server 2003 будет прозрачен. Серые подсети в 3 офисах естественно будут разные.
В первом удаленном офисе проблем не должно возникнуть (если я правильно понял провайдером выдается 1 реальный IP адрес), во втором офисе сложнее, необходимо договорится с провайдером на проброс необходимых портов и протоколов IPSec, так как Вам выдаются серые адреса.
Протокол ICA в такой схеме подключения будет работать.

Исчерпывающе...

И последний вопрос: а есть ли в природе устройства, которые в своем аппаратном VPN потянут Citrix-клиентов (ICA)? Может у конкурентов? Сколько могут стоить? И все вышеперечисленное должны уметь, конечно же.

Большое всем спасибо.

_________________
Жизнь это болезнь, передающаяся половым путем, с неизбежным летальным исходом.

Не понятно что Вы имеете в виду, какие функции должно выполнять устройство?

и чтобы ICA работал

_________________
Жизнь это болезнь, передающаяся половым путем, с неизбежным летальным исходом.

Если речь идет о том, чтобы поднять VPN-туннель и через него удаленно работать через терминального клиента, то любое устройство с поддержкой VPN ,напр. DI-804HV DFL-200

Не могли бы вы пояснить поддерживается ли сейчас подключение по pptp в качестве клиента к MS Windows Server 2003.

Есть ли другие продукты, способные работать в подобной роли?

У меня настроить не получается ни с MS Windows Server 2003 ни с pptp-сервером в linux. Клиенты на основе MS Windows XP работают нормально с обоими серверами.

Информация по оборудованию:
Dlink DI-808HV
H/W Ver.: B1 F/W Ver.: 1.44 S/N: DY26188000383
Прошивку заменил на 20080915_D-Link_808HV_V1.51b03, но и это не помогло, хотя, как я заметил появился режим позволяющий, по видимому, "запускать интернет в обход VPN"