Подскажите начинающему, плиз, можно ли это сделать?
т.е. есть две сети с разными IP адресами, в каждой из которых свой DHCP и DNS, + 2 шт DI-804HV

_________________
Сергей Матюшин

Что требуется-то? Объединить?
Если да, то только по IPSec
NAT на этих устройствах неотключаемый.

Да, объединить, но проблема осложняется тем, что в сети 1 с адресами вида 192.168.0.х лежит база 1С и из сети 2 к ней надо иметь доступ,
а в сети 2 с адресами вида 192.168.12.х стоит сервер защиты и ключ от 1С и это хозяйство надо видеть из 1 сети.

_________________
Сергей Матюшин

Только IPSec

Станислав, подскажите пожалуйста, что я не так делаю? Собрал следующую схему: ( компьютер-А IP 192.168.0.194 , маска 255.255.255.0, шлюз 192.168.0.1)=патчкорд прямой =( lan 1 роутер DI-804HV wan )=патчкорд прямой 50 метров =( wan 2 роутер DI-804HV lan)=патчкорд прямой=(компьютер-Б 192.168.11.202, 255.255.255.0, шлюз 192.168.11.1) настройки как в FAQ "Настройка IPSec тоннеля между двумя маршрутизатором DI-804HV"

Роутер 1
LAN: IP 192.168.0.123, маска 255.255.255.0
WAN: IP 192.168.100.211, маска 255.255.255.0, шлюз 192.168.100.1,
первичный, вторичный DNS 0.0.0.0, MTU 1500, WAN Keep-alive, Change the TTL value, Auto-backup, IGMP - все в Disabled

Роутер 2
LAN: IP 192.168.11.73, маска 255.255.255.0
WAN: IP 192.168.100.200, маска 255.255.255.0 шлюз 192.168.100.1,
первичный, вторичный DNS 0.0.0.0, MTU 1500, WAN Keep-alive, Change the TTL value, Auto-backup, IGMP - все в Disabled

IPSec не работает. нет пинга от А к Б и от Б к А.

_________________
Сергей Матюшин

Покажите настройки IPSec

Роутер 1
Tunnel Name aaa
Aggressive Mode Enable
Local Subnet 192.168.0.0
Local Netmask 255.255.255.0
Remote Subnet 192.168.11.0
Remote Netmask 255.255.255.0
Remote Gateway 192.168.100.200
IKE Keep Alive -
Preshare Key ***********
Extended Authentication -
IPSec NAT Traversal -
Auto-reconnect -
Remote ID Type IP address
Value -
Local ID Type IP address
Value -

IPSec Proposal index ipsec
ID 1;
Proposal Name ipsec;
DH Group Group1
Encap protocol ESP
Encrypt algorithm 3DES
Auth algorithm MD5
Life Time 28800
Life Time Unit sec.

Роутер 2
Tunnel Name aaa
Aggressive Mode Enable
Local Subnet 192.168.11.0
Local Netmask 255.255.255.0
Remote Subnet 192.168.0.0
Remote Netmask 255.255.255.0
Remote Gateway 192.168.100.211
IKE Keep Alive -
Preshare Key ***********
Extended Authentication -
IPSec NAT Traversal -
Auto-reconnect -
Remote ID Type IP address
Value -
Local ID Type IP address
Value -

IPSec Proposal index ipsec
ID 1;
Proposal Name ipsec;
DH Group Group1
Encap protocol ESP
Encrypt algorithm 3DES
Auth algorithm MD5
Life Time 28800
Life Time Unit sec.

Может я с Remote Gateway напутал ?? роутеры WAN включены не через интернет, а напрямую друг к другу.

_________________
Сергей Матюшин

Нет с гейтами Вы не напутали.
Вы не указали IKE Proposal
Огласите логи при установке соединения.

Роутер 2
WAN Type: Static IP Address (V1.43)
Display time: Tuesday September 12, 2006 12:35:21


Tuesday September 12, 2006 12:34:52 Send IKE (INFO) : delete [192.168.11.0|192.168.100.200]-->[192.168.100.211|192.168.0.0] phase 2
Tuesday September 12, 2006 12:34:52 IKE phase2 (IPSec SA) remove : 192.168.11.0 <-> 192.168.0.0
Tuesday September 12, 2006 12:34:52 inbound SPI = 0xd4000010, outbound SPI = 0xd4000010
Tuesday September 12, 2006 12:34:52 Send IKE (INFO) : delete 192.168.100.200 -> 192.168.100.211 phase 1
Tuesday September 12, 2006 12:34:52 IKE phase1 (ISAKMP SA) remove : 192.168.100.200 <-> 192.168.100.211
Tuesday September 12, 2006 12:34:55 Send IKE A1(AINIT) : 192.168.100.200 --> 192.168.100.211
Tuesday September 12, 2006 12:34:55 Receive IKE A2(ARESP) : [192.168.100.211]-->[192.168.100.200]
Tuesday September 12, 2006 12:34:55 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group1
Tuesday September 12, 2006 12:34:55 Send IKE A3(AHASH) : [192.168.100.200]-->[192.168.100.211]
Tuesday September 12, 2006 12:34:55 IKE Phase1 (ISAKMP SA) established : [192.168.100.200]<->[192.168.100.211]
Tuesday September 12, 2006 12:34:55 Send IKE Q1(QINIT) : 192.168.11.0 --> 192.168.0.0
Tuesday September 12, 2006 12:34:55 Receive IKE Q2(QRESP) : [192.168.0.0|192.168.100.211]-->[192.168.100.200|192.168.11.0]
Tuesday September 12, 2006 12:34:55 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group1
Tuesday September 12, 2006 12:34:55 Send IKE Q3(QHASH) : 192.168.11.0 --> 192.168.0.0
Tuesday September 12, 2006 12:34:55 IKE Phase2 (IPSEC SA) established : [192.168.0.0|192.168.100.211]<->[192.168.100.200|192.168.11.0]
Tuesday September 12, 2006 12:34:55 inbound SPI = 0xd6000010, outbound SPI = 0xd6000010

Роутер 1
WAN Type: Static IP Address (V1.43)
Display time: Tuesday September 12, 2006 14:54:58


Tuesday September 12, 2006 14:54:47 Send IKE A1(AINIT) : 192.168.100.211 --> 192.168.100.200
Tuesday September 12, 2006 14:54:47 Receive IKE A2(ARESP) : [192.168.100.200]-->[192.168.100.211]
Tuesday September 12, 2006 14:54:47 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group1
Tuesday September 12, 2006 14:54:47 Send IKE A3(AHASH) : [192.168.100.211]-->[192.168.100.200]
Tuesday September 12, 2006 14:54:47 IKE Phase1 (ISAKMP SA) established : [192.168.100.211]<->[192.168.100.200]
Tuesday September 12, 2006 14:54:47 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.11.0
Tuesday September 12, 2006 14:54:47 Receive IKE Q2(QRESP) : [192.168.11.0|192.168.100.200]-->[192.168.100.211|192.168.0.0]
Tuesday September 12, 2006 14:54:47 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group1
Tuesday September 12, 2006 14:54:47 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.11.0
Tuesday September 12, 2006 14:54:47 IKE Phase2 (IPSEC SA) established : [192.168.11.0|192.168.100.200]<->[192.168.100.211|192.168.0.0]
Tuesday September 12, 2006 14:54:47 inbound SPI = 0xd2000010, outbound SPI = 0xd2000010

_________________
Сергей Матюшин

Фазы установились! Туннель поднят.
Проверьте роутинги на пингуемых машинах, чтобы они смотрели на DI-804-е

Станислав! можно тут подробнее, как на самом роутере это прописать мне непонятно.

если я правильно понял, то на компьютере Б, чтоб видеть А надо добавить маршрут??

route ADD 0.0.0.0 MASK 0.0.0.0 192.168.11.173 METRIC 2

а на роутере ?? У меня там стоит RIPv1 на обоих роутерах. Я просто никогда с таким не сталкивался.

_________________
Сергей Матюшин

route add -p _удаленная подсеть_ mask _маска удаленной подсети_ _ВнутреннийIP_DI-804_

C:\>route add -p 192.168.0.0 mask 255.255.255.0 192.168.11.173

C:\>netstat -r
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 a0 21 a1 a9 ff ...... Realtek 8139-series PCI NIC
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.11.1 192.168.11.102 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.11.173 192.168.11.102 1
192.168.11.0 255.255.255.0 192.168.11.102 192.168.11.102 1
192.168.11.102 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.11.255 255.255.255.255 192.168.11.102 192.168.11.102 1
224.0.0.0 224.0.0.0 192.168.11.102 192.168.11.102 1
255.255.255.255 255.255.255.255 192.168.11.102 192.168.11.102 1
Default Gateway: 192.168.11.1
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
192.168.0.0 255.255.255.0 192.168.11.173 1

Таблица маршрутов

Активные подключения

Имя Локальный адрес Внешний адрес Состояние


C:\>ping 192.168.0.94

Обмен пакетами с 192.168.0.94 по 32 байт:

Время ожидания запроса истекло.
Время ожидания запроса истекло.
Время ожидания запроса истекло.
Время ожидания запроса истекло.

Статистика Ping для 192.168.0.94:
Пакетов: послано = 4, получено = 0, потеряно = 4 (100% потерь),
Приблизительное время передачи и приема:
наименьшее = 0мс, наибольшее = 0мс, среднее = 0мс

C:\>

Никак не могу понять, почему это не работает.

_________________
Сергей Матюшин

В первом посте IP был 73, а Вы указываете 173
На другой машине должен быть такой же маршрут

Прописал маршруты, еще раз все проверил, и Ура!!! пинги проходят!!!, в первом посте действительно был 73, но потом я его поменял на 173.
Станислав! подскажите плиз, чтобы Remote Desktop работал, и ключ от 1С виделся надо приоткрыть порты на роутерах, а как правильно это сделать? На обоих роутерах должны быть одинаковые настройки??

_________________
Сергей Матюшин