Всем привет!

Дабы не плодить кучу тем создал одну, где я (может еще кто) буду задавать вопросы по DFL-210 его настройке и т.д.

Моя предыдущая тема viewtopic.php?t=81016 там я задал вопрос какой маршрутизатор мне подойдет, в итоге остановился на 2-х DFL-210.

Сходу скажу о небольшой "засаде" с этим девайсом с учетом моих тербований. А именно нужно было, чтобы устройство поднимало VPN соединение для выхода в интернет (домашняя сеть Корбина). Суть проблемы в том, что хост VPN сервера у корбины называется vpn.corbina.net т.е. нужно указывать имя. а не ip сервера. А как оказалось vpn сервер по имени нельзя забить на DFL-210. Проблему буду решать простым указанием IP сервера, в надежде, что он (IP) не меняется часто. Или же перед DFL-210 будет стоять другая железка. которая умеет поднимать соединие по имени vpn сервера, а дальше уже DFL-210. Может есть еще варианты?

Далее, с первой темы немного изменились условия подключения: в одном офисе (теперь главном) есть нормальный инет со статическим IP. Что немного упрощает задачу. Во втором остался домашний, без реального IP.

Поковрявшись с железками (DFL) пару дней мне вообщем они понра, девайсы реально интересные, по функционалу и возможностям полноценные маршрутизаторы с кучей вариантов подключения (IPsec, PPTP сервер, клиент и т.д.) + Firewall с гибкой настройкой. По началу было много вопросов по настройке, но почитав мануал + пару десятков страниц форума стало все более менее понятно. Но есть и непонтяки:

Что меня пока мучает:
1. Что такое Originator IP? Знаю, что в этом поле нужно указывать реальный IP удаленного клиента при создании PPTP и т.д. Если IP неизвестен можно ставить Any. Что-то типа remote end point, где если известно указываем реальный ип, если нет, то any. Я прав?
2. Опробывал разные варианты соединения между офисами (пока виртуально - один дома, второй на работе). Вот тут возник вопрос:
Немного непонятно как функционально происходит соединение по IPsec? Есть ли в нем понятие сервера, т.е. кто-то слушает? а кто-то пытается приконнектится? При соединении двух DFL по IPsec (один с реальным ИП, второй - нет) на одном указал (как бы клиенте получается допутим маршрутизатор А) remote end point - ip второго dfl'я который с реальным ипом (он будет B). На B указал в remote end point - any и указал лок. подсеть маршрутизатора A. Соединилось без проблем, маршруты автоматом поднялись на обоих - все ок. А если будет 3-й офис, тоже без реального IP например. На B мы создаем еще один IPsec тунель там тоже указываем все так же как и в первом случае remote end point - any. Тогда как он разберется какой из двух клиентов к нему коннектится? Или тут определяющим фактором является указание локалки (remote network), по которой определяется кто именно коннектится? Т.е. что то типа клиент пытается приконнектится, говорит моя локалка такая-то, тот проверяет есть ли у него такое в настройках туннелей, если есть, говорит да, давай?

Ух, многа букф, сори если сумбурно, старался как мог )

Варианты очень даже есть. Указываете маршрут до vpn сервера Корбины в таблице main. Не забываете указать адреса DNS серверов, чтоб DFL мог их резолвить. А адрес забиваете не как ip адрес, а dns:vpn.corina.ru. Разумеется, прошивка свежая.

Так и есть. В принципе, даже если IP динамический, он находится в определенном диапазоне. Можно его выяснить и указывать именно его.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM
Спс за оперативный ответ Прошивка последняя ессно. Сейчас действительно попробывал добавить в Address Book хост по типу dns: vpn.corbina.net - получилось, только не пойму зачем в таблицу маршрутизаиции его добалять, просто добавить его в Address Book, а в св-ах pptp клиента указать из адрес бука или есть нюанс какой-то?

не откажусь от комментариев по второй части первого сообщения

dns имя надо указывать не в объектах, а прямо забивать в Remote Endpoint: Иначе не сработает. Однако, если у вас заработает - поделитесь.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Опишу последовательность действий:
1. Присваиваем объекту - имя: vpn.corbina.net
Идем в objects-address boo, создаем ip address. В поле. где имя вбиваем например Vpn_serv_corbina, в поле ip addres - dns: vpn.corbina.net
2. Идем в PPTP клиент: remote end point ставим Vpn_serv_corbina, remote_network - any, логин, пароль.. все схавал.

Проверить в реальных условиях не могу как отрабатывать будет или не будет?

ошибка

Обязательно добавлять именно в клиент. Маршрут на pptp/l2tp подсеть в корбине это на сеть 85.21.0.0/24

Так же желательно указать маршрут до DNS серверов на физическом wan интерфейсе.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Делал по этому типу (названия объектов могут не совпадать) - скриншоты со второго маршрутизатора, по принцип тот же:

Создвл в Address Book'e:


Потом в PPTP клиенте:


После этого, при след. логине на железке выдало:

Attempting to use new configuration data...

Warning W1758/NETOBJECTS in "Vpn_serv.IP4Address", property "Address":
- IP4Addresses does not support DNS names. This netobject will be treated as 0.0.0.0

Error E3351/IFACES in "inet.L2TPClient", property "RemoteEndpoint":
- Missing remote endpoint for inet

Attempting to use previous set of configuration data...
License file successfully loaded.

Configuration done

Что не так?

Ну написали же ясно как надо делать:

Сори, сразу не догнал, в заблуждение ввело то, что в поле Remote Endpoint думал можно что ли бо ввести только выбрав из списка элементов Address Book'a. Оказалось, что можно просто руками сразу.

информация немного устарела но download.php?id=147

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

В любом случае спасибо!

..............
..............
сам допёр...

Доброго времени суток всем. Прошу ногами не пинать, но сам так и не смог допереть, как настроить DFL-210 так, чтобы хотя бы выход в И-нет появился – ламер я , в принципе, дремучий в сетевых технологиях, а 210-й – мой первый роутер.
Внутри локальной сети провайдер через DHCP-сервер раздаёт динамические IP вида 10.x.x.x (ну и все остальные необходимые настройки), выход в Интернет через NAT. При первоначальной настройке через мастера указал, что настройки сети получаются с DHCP-сервера и IP динамический. Как не бился, законнектиться не вышло, в свойствах сетевого соединения, насколько я успел заметить, не прописываются ни адрес шлюза, ни адрес DNS-сервера.
Статус WAN-интерфейса выдаёт следующее:

Мои настройки Адресбук и Ethernet cледующие:






Что и где ещё нужно прописать, чтобы получить выход в Инет?

Упоминания о DNS и шлюзе на LAN - уберите.

Измените lannet на 192.168.100.0/24 (хотя и ваш вариант будет работать, но только для 10 адресов). Также измените dhcpserver_range с 192.168.100.2. Да и вообще, для простоты с самого начала не используйте DHCP (вбейте на компе ручками) и DNS пропишите провайдерский (DNS на DFL настраивается отдельно).

Далее, проверьте - у вас на WAN должно быть default route. Ну и правила ваши приведите, хотя там по стандарту все будет работать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc