Нужно организовать доступ в инет (через ADSL) для некоторых абонентов локальной сети (4-6 человек). Сейчас работают в паре сервер на ФриБСД (он занимается делением канала и ВПНом для клиентов локалки) и модем DSL-500T.
Имеется патриотическое желание заменить эту связку на вот такую железку DI-804HV.
Вопрос - умеет ли эта железка делать VPN по локалке? Из инструкции ничего не понял. И если умеет - то как это сделать ?
А если не умеет - то чем заменить сервер?

Делать VPN по локалке ,т.е туннели внутри LAN
и авторизовать клиентов посредством VPN и выпускать их в интернет- это разные вещи.

Если вы хотите только VPN внутри LAN, то смотрите в сторону DSL-G804V. Это утсройство заменит и DSL-500T и ваш сервер
( умеет делать VPN внутри и наружу, обладает встроенным ADSL модемом, шейпит и т д).

Если же хотите, чтобы клиенты авторизовались по VPN ( например PPTP) и ходили в интернет после авторизации , т.е устройство должно выполнять функцию NAS (network access server), то нужно смотреть в сторону DSA-3110.
Т.е будет связка DSA-3110+ ваш DSL-500T.

_________________
С уважением, Гакало Алексей

спасибо, буду разбираться...
добавлено через 10 минут
Разобрался - буду брать 3110 - т.к. нужна авторизация. а туннели через него, видимо, беспрепятственно пройдут

Еще вопрос - можно ли с помощью 3110 сделать 2 группы клиентов - например первая группа (от 1 до 6 человек одновременно) делит полосу 2 мегабита поровну меду собой, а вторая (2-4 клиента) - жестко по 254к имеет канал. При этом все они авторизуются для доступа к инету через ВПН. Остальные пользователи локалки (без ВПНа) инет не видят.

Да можно конечно. Дело лишь в том что такой расширенный функционал (расширенная работа с полосами групп и пользователей) не реализован пока в вэб интерфейсе VPN прошивки устройста, а доступен только в прошивке Hotspot Edition (которая авторизует не через VPN,а через HTTP)
http://www.dlink.ru/products/prodview.p ... =18&id=768


в прошивке же с VPN серверром
http://www.dlink.ru/products/prodview.p ... =18&id=603
шейпер доступен только через командный режим и только 1 группа
(то есть жесткое ограничение ширины полосы каждого VPN пользователя 1 значением- например, в вашем случае 254к)

Настройка шейпера ведется так через командный режим (консоль или SSH).

Настройка шейпинга.

Шейпер позволяет задавать максимальную полосу пропускания для входящих соединений ppp.
Шейпер в DSA-3110 реализован с использованием дисциплины очередей TBF (Token Bucket Filter) и включается автоматически после авторизации подключения сценарием /etc/ppp/ip-up.d/2shaper. Данный сценарий содержит командную строку запуска шейпера.
В настройках по умолчанию данный сценарий отключен.

• Отключение шейпера :
снять разрешение на исполнение с файла запуска шейпера командой
chmod -x /etc/ppp/ip-up.d/2shaper
• Включение шейпера:
установить разрешение на исполнение на файл запуска шейпера командой
chmod +x /etc/ppp/ip-up.d/2shaper
• Изменение полосы пропускания пакетов шейпера через текстовый редактор vi:
1. Войти в редактор vi /etc/ppp/ip-up.d/2shaper
2. Нажать Insert – вход в режим редактирования
3. Изменить значение RATE_DFLT в cкрипте сценария на свое значение:

ATTR=/var/run/radattr.${PPP_IFACE}
TC=/sbin/tc
RATE_DFLT=64kbit

Пример: RATE_DFLT=128kbit

Пояснения к примеру: данные, поступающие на ppp интерфейс будут искусственно ограничиваться скоростью 128 кбит/c.
Внимание: Измененное значение будет применяться только к следующему новому ppp соединению. Для изменения параметров текущих (уже работающих соединений) необходимо их переподключение.
4. Нажать Escape для выхода из режима редактирования.
5. Нажать :wq для выхода с записью изменений ( или :q! для выхода без записи).

_________________
С уважением, Гакало Алексей

Крайний вопрос - и отстану
Ситуация такая - канал 2 мегабита
На клиента нарезано по 512к
одновременно подключилось 6 клиентов.

Вопрос - шейпер в 3110 разделит 2 мега на 6 по честному или по потокам (например один из ВПН клиентов качает регетом файл в 50 потоков).

В описаной ситуации сервак на ФриБСД (в качестве шейпера настроено МПД) делит канал не по подключениям (на 6) а ПО ПОТОКАМ, т.е. клиент с регетом сожрал почти весь свой канал (почти 512к) а остальные 5 - делят 1,5М на пятерых. Мне же надо чтобы НЕЗАВИСИМО ОТ КОЛИЧЕСТВА ПОТОКОВ от каждого клиента выделеный на всех канал делился поровну, причем в любом случае скорость на каждого не более например, 512, даже когда он (клиент) сидит один.

Текущий шейпер в 3110- ограничивает каждого клиента в отдельности
заданным значение полосы,а не делит входящий канал (который кстати еще и неизвестно какой) между ними .И это значение не может быть превышено, даже при при многопоточной передачи( т.е. в в вашем случае больше 512 все одно никто не получит).

Для того что бы "дележ" был поровну, надо, чтобы сумма полос юзеров равнялась примерно полосе канала.
В вашем же случае 512к*6> 2 мегабит, поэтому совершенно естественно, что один клиент может "откусить" до максимума своей полосы (512к).

P.S.
AFAIK можно как-то сделать, чтобы и поровну было, но не более 512 но сразу не скажу, и в любом случае это скрипты на 3110 ковырять

_________________
С уважением, Гакало Алексей

Из этих слов не понял 2 момента.
1) VPN это устройство может делать одновременно как в внутрь сети(локальная сеть) так и наружу (ADSL) ?
2) Если да (см п.1) - то как происходит подключение по VPN во внутренней сети ?
Меня просто интересует вопрос проброска VPN через локальную сеть от сервера W2k3 до ADSL модема на другом конце локальной сети (может ли это устройство сделать это ?)
Нужно получить интернет на сервере но он находится далеко от ADSL модема, ну и конечно нужно чтобы канал был защещен.

1.Cовершенно верно.
PPTP и L2TP соединение умеет делать как наружу на WAN интерфейс ADSL) (параметр Connection Type-Remote Acccess),так и в LAN интерфейс (Connection Type-LAN to LAN).

2.Подключение происходит по PPTP и L2TP протоколу.
Настраиваете на G804V PPTP или L2TP сервер смотрящий "вовнутрь" LAN сети (Connection Type-LAN to LAN,Service Type-Dial in).
Тогда вы можете подключать любых PPTP клиентов к LAN сети G804V.

Насчет интернета уже ответил в первом посте.Это не NAS.
Это невозможно. Клиенты, подключенные по VPN "снутри" "замкнуты" в пределах LAN интерфейса модема.
VPN же в данном случае позволяет только связать две сети через маршрутизируемую сеть ( как и следует из названия LAN to LAN).

_________________
С уважением, Гакало Алексей