Всем доборго дня.
Оченно нужен совет спецов.
Имеем - центральный офис - в нем сеть на 4 компа, подключение в интернет по ADSL (Static IP).
филиал в другом городе - там подключение к инету через другого прова.
Нужно настроить подключение к инету в центральном офисе через DSL-G804V + поднять на нем VPN сервер чтоб можно было подключаться к удаленным филиалам и админить там компы.

Инет в офисе настроили
WAN Setting MPoA (RFC 1483/RFC 2684, Multiprotocol Encapsulation over AAL5)
Encapsulation Method LLCBridged.
Инет в офисе есть на всех компах.
Настраиваю VPN на роутере (собссно все по иструкции http://www.dlink.ru/technical/faq_xdsl_126.php)
пробуем подключиться к офису из филиала - VPN туннель поднимается, удаленному компу присваивается ИП (192.168.1.35)
(при подключении к VPN комп в филале ругается - не могу подключить протокол IPX, но соединение всё равно устанавливается)
и все на этом - из офиса не пингуется 192.168.1.35
из филиала - тоже - сеть офиса не пингуется...
Wan интрефейсы пингуются и из офиса в филиал и обратно.
(сейчас пробуем с филиалом где компы сидят тож за ADSL-рутером - сеть внутренняя там тоже 192.168.1.0/255.255.255.0 )

Подскажите, плиз, в чем проблема?
(прошивка DSL-G804V новая - 08 )

Провел опыт, DSL-G804V, прошивка: 1.00.08.dg2
Через PPTP-соединение на ping ответил и LAN-интерфейс модема и компьютер, подключенный по LAN.

Alexander Gorelik

а поподробнее можно? как вы настраивали?

может мы неправильно настроили ADSL инет на G804V?
(смущает Encapsulation Method LLCBridged вроде как должно быть LLCRouted, но иначе не работает...)

В настройках WAN-соединения использовал MPoA (RFC 1483/RFC 2684, Multiprotocol Encapsulation over AAL5)
По настройкам VPN:
VPN: PPTP
Enable after 'Apply': Yes
Connection Name: mytest
Connection Type: Remote Access
Service Type: Dial In
IP Address: 192.168.1.135
Account Configuration
Username: aaa
Password: bbb
Authentication Type: Auto (CHAP)
Idle Timeout: 0
Encryption Setting
Data Encryption: Auto
Key Length: Auto

Другие параметры заданы не были.

LAN-адрес модема 192.168.1.1, по LAN-интерфейсу подключен также компьютер с адресом 192.168.1.2
WAN-адрес модема 192.168.100.81

Соединение производилось с компьютера во внешней сети с ОС Windows XP SP2 стандартным клиентом.



Это инкапсуляция, здесь все верно.

А интернет работает в центральном офисе? Какие адреса на WAN-интерфейсе модема?

(просто в офисе стоял до этого ADSL модем ZyXEL у него в настройках было - LLCRouted...)

VPN настраивал также...

инет в центральном офисе работает.
в настройках WAN - прописывал IP, mask выданные провайдером.
(А какой должен быть IP на WAN интерфейсе модема?
и где его прописать?)

А может мы вообще зря с этими VPN туннелями заморачиваемся?
Суть задачи - из офиса удаленно админить комп в филиале.
Если для этого просто использовать RAdmin?
что нам надо настроить на нашей стороне
и главное на роутере в филиале надо что-то настраивать?
(доступа к нему нет)

Провайдер в центр. офисе - ВолгаТелеком.

Если филиал сидит за ADSL роутером с NAT - удастся подключиться по VPN к офису?

Главное чтобы LAN и WAN не принадлежали одной подсети.



Не понимаю, - Вы прописали адреса выданные провайдером или не знаете где их прописать?



Может и зря. Для того чтобы удаленно администрировать один компьютер не обязательно устанавливать VPN-туннель.

Достаточно поставить на компьютере RAdmin, знать порт на котором он работает. Нужно создать правило Virtual Server (как еще называют "проброс портов"). В результате, приходящий на внешний IP-адрес Вашего ADSL-роутера запрос, будет перенаправляться на указанный внутренний (локальный) адрес компьютера.
Подробнее о Virtual Server см. FAQ

Alexander Gorelik

сорри, совсем зарапортавался

в настройках WAN всё было правильно:
WAN settings:
MPoA(......)
LCC Bridged
IP Address: xxx.yyy.144.250
Netmask: 255.255.255.252
Gateway: xxx.yyy.144.249
(где - ИП, маска, gtw - выданные провом)

LAN сеть 192.168.1.0 / 255.255.255.0

вобщем, вчера все заработало с удаленным тестовым компом.
оказалось - не работало из-за того что на нем был включен виндовый файрволл




Не... вы, наверное, не так поняли -
так получится если в филиале стоит такой-же ADSL роутер (ну или в общем случае просто - роутер, которым мы можем управлять и на котором мы можем сделать проброс портов)
В нашей задаче - DSL G804V стоит в центральном офисе.
В филиале - просто комп с выходом в инет (какое подключение - заказчик не знает... знает только что там инет довольно шустрый, ехать за 200км выяснять тож не очень интересно...)
Задача была сделать так, чтобы к офису могли подключаться из удаленных филиалов _не зависимо от того какое там подключение к интернету, ничего не настраивая на удаленных роутерах_ и можно было админить комп в филиале из центр. офиса.

Я так понимаю - тут только VPN (инициированный с той стороны)?
и главное, чтоб на роутере с той стороны был разрешен vpn трафик...
и через этот vpn уже и радмин и все остальное...
так?

Вобщем, если подключаемся по VPN к сети центр. офиса из филиала в нашем городе (и подключенного к интернет через того же провайдера, что и центр офис) то все замечательно работает.
(пинг между внешними ИП филиала и офиса - 10-20мс.)

Если подключаемся из филиала в другом городе (провайдер соотв. другой) - то ничего не работает... пинги ходят через раз...
На данный момент проблему удалось решить, только отключив шифрование VPN на роутере (G804V).
(пинг между внешними ИП филиала и офиса - 100-150мс.
Трассировка показывает 12 хопов.)
(В этом филиале на компе статический внешний ИП)


Пробовали менять MTU на роутере в офисе, на компе в офисе, и на компе в филиале (до 576) - не дало результата...
(или надо менять только на компах, а на роутере оставить 1500? )

Подскажите, плиз, в чем может быть проблема? долгие пинги?
и на сколько опасен режим VPN без шифрования?

заранее спасибо.

Какова ширина канала в удаленных филиалах?


Максимально допустимое значение для ADSL-подключения 1492.

Известно, только что там сеть Торг. Центра, интернет на комп приходит по Ehernet. ИП на сетевой карте статический, реальный.
Явно не хуже АДСЛ...




а как же в настройках роутера когда выбираешь WAN settings:
MPoA(......)
сразу автоматом ставиться MTU=1500 ?

Прошу прощения, тут ввел в заблуждение - ограничение MTU в 1492 байт имеет место для IEEE 802.2/802.3 (RFC 1042) сетей (к примеру, если бы использовался PPP-туннель).

А есть ли возможность измерить?

К сожалению, нет...
В центр. офисе АДСЛ, на страничке статуса роутер пишет -
ADSL 992/2048 kb/s (как я понял - исходящий/входящий)
В филиале, пожалуй, инет даже быстрее чем в офисе...

еще раз внимательно прочитал:
http://www.dlink.ru/technical/faq_vpn_12.php
и особенно: http://www.cisco.com/warp/public/105/56.pdf

Такая мысль пришла - может надо уменьшать (до 1400) MTU на удаленном компе, не трогая на роутере?