Здравствуйте!

Конфигурация сети сейчас вот такая:



И хочется чтобы стало так:



Т.е. смысл в том, что внутри локалки есть два клиента, каждый со своим VPN-соединением с одним и тем же провайдером. Сейчас VPN-соединения подняты на самих клиентах, а хочется, чтобы в случае установки маршрутизатора эти соединения поднимались на самом маршрутизаторе, а клиенты просто имели выход в инет.

Я пока что получил противоречивые сведения: один говорит, что у него стоит 624-й и три клиента со своими туннелями, представительство ДЛинка говорит, что 624-й не может поднять более 1 туннеля. Где же правда? И какую модель посоветуете, если 624 не подходит?

-Спасибо.

DI-624, да и все остальные маршрутизаторы могут быть pptp клиентами. Т.е соединение VPN будет поднимать маршрутизатор (только одно), а клиенты, подключенные к маршрутизатору будут иметь доступ в Интернет

Спасибо, но Вы видимо не поняли моей специфики - у меня два РАЗНЫХ VPN соединения, т.е. представим себе ваш роутер: на одном его выходе в локальную сеть мне надо поднять один VPN - канал, а на другом выходе - другой. Допустип, что у этих выходов адреса 192.168.0.1 и 192.168.1.1 (чисто для примера). Подключаем к этим выходам две подсетки. У одной шлюз для выхода в Интернет будет прописан 0.1 а у другой - соответственно 1.1. Желательно при этом чтобы никто из подключенных к кабелю, воткнутому в 1.1, не мог у себя в настройках сети поменять шлюз на 0.1 и выйти в Инет "под чужим аккаунтом".

Для видимости ВСЕХ компьютеров (друг для друга в локальной сети) я так понимаю, что у них д.б. прописана маска 255.255.0.0, но на самом роутере д.б. прописано два правила насчет VPN (ну или я не знаю, как это назвать правильно), запрещающие доступ к соответствующему VPN-шлюзу из другой подсетки.

Надеюсь, объяснил, чего хочется.

Надо это потому, что уже есть два IP адреса и выбрасывать второй жалко (денег за него все равно не вернут), а учет траффика вести отдельно на каждый адрес гораздо удобней, да и статистика и деньги у провайдера идут на каждый адрес отдельно. Поэтому и хочется сохранить оба адреса.

Еще вопрос - по беспроводному подключению - оно как выглядит с точки зрения сети? Это еще один шлюз или что? Какой у него адрес? Какой-то фиксированный? Допустим в вышеописанной ситуации я подключаю ноутбук по вай-фаю. К какой подсети он будет принадлежать? Это как-то настраивается?

-Спасибо.

624 не подойдет. Надо (если и WiFi актуален) 824 - для построения VPN тоннеля.

Маска не меняется, поскольку сети остаются разные. Просто они станут доступны через шлюз (посредством VPN тоннеля). (как-то криво звучит, но надеюсь смысл понятен)

Беспроводное подключение выглядит точно так-же как и проводное. Никакого доп.шлюза или чего-то подобного - просто расширяем свитч в радиодиапозон.

Честно говоря, не совсем понял. Вы хотите сказать, что из одной локальной подсетки другую подсетку будет видно через VPN? Так это значит и скорость между ними будет соответствующая? А как быть с общими ресурсами? К примеру, если в локальной сети есть NAS? Оно (хранилище) должно принадлежать к одной из подсеток в этом случае, а другая подсетка при этом будет иметь к нему доступ через VPN? Что-то как-то...

Хотелось вообще-то одну подсетку, просто два разных шлюза для выхода в Инет. В конце концов, если невозможно на роутере запретить доступ к "первому" шлюзу из "второй" подсетки (и наоборот) - то и ладно, иметь два шлюза важнее. Запрет можно и на самих компах настроить. Админ все равно один.


Я не очень понимаю одно место - точка доступа работает в режиме инфраструктуры, так? А как при этом будут назначаться адреса подключаемым клиентам? По какому-то правилу или каждый клиент уникален и можно на самом клиенте настроить какой-то статический адрес? Просто я никогда с точкой доступа в режиме инфраструктуры не работал... Объясните если можно.

-Спасибо.

С двумя разными провайдерами может связываться DI-LB604, у него 2 WAN порта. Однако перед покупкой, я бы порекомендовал взять его у нас на тестирование.

Кстати тоже возможность интересная, но мне сейчас надо установить ДВА VPN - соединения (с разными логинами) С ОДНИМ И ТЕМ ЖЕ VPN-сервером ОДНОГО провайдера. Т.е. (насколько я понимаю) мне придется эти два WAN-порта объединить свичом, поскольку входящий Ethernet-кабель всего один.

Т.е. я правильно понял, что в настоящее время в природе нет девайса, поднимающего хотя бы два VPN-соединения НА ОДНОМ WAN - порту?

Нет

Видимо это следует понимать так, что "нет девайса".

Хорошо, тогда скажите, правильно ли я понял, что я могу поднять один VPN-тоннель на самом роутере, так что вся локальная сеть сможет ходить в Инет через этот тоннель, НО В ТО ЖЕ ВРЕМЯ, НА ОДНОЙ "ОСОБОЙ" машинке в локалке я могу поднять ЕЩЕ ОДИН VPN-тоннель С ТЕМ ЖЕ VPN-сервером, что и тоннель, поднятый на роутере, и при этом ЭТА машинка будет видеть Инет ЧЕРЕЗ СВОЙ VPN - тоннель, в то время как все остальные машинки в локалке будут продолжать пользоваться тем тоннелем, который поднят на роутере. В случае же, если НА ЭТОЙ машинке не запущено VPN-соединение, то она, как и все прочие, видит Инет через роутер.

Какую модель Вы можете посоветовать для решения такой "урезанной" задачи? Основное требование здесь - это надежность VPN-тоннеля, поднятого на роутере, в смысле его самовосстановления в случае обрыва со стороны провайдера. Хотелось бы, чтобы не приходилось перезагружать роутер каждый раз, как это соединение упадет по вине провайдера.

По стоимости особых требований нет, т.е. если с моделями за $60 все плохо и ненадежно, то лучше взять подороже, но чтоб без головняков.

Как-то сразу не подумал, что компы могут рядом стоять.
(показалось, что надо связать через сеть провайдера удаленные подсети).
Но тогда не понятно - почему внутренняя локалка не работала.
Впрочем, я так понял что вопрос закрыт.

Про точку доступа.
Все точно так-же, как и по проводам. Если по проводам получаете адрес от DHCP - так-же получите и без проводов. Если адреса руками - точно так-же задайте беспроводной карте.
Не считайте ее "слишком умной" или чем-то особенным, и вопросы пропадут.

Что значит - "не работала"? Я только еще собираюсь купить роутер. И хочется решить все проблемы сразу. Но, если нету роутеров, способных поднять сразу два ВПН-соединения с одним и тем же ВПН-сервером, то значит придется отъехать путем покупки 624-го роутера (или подскажите может есть лучше) и поднять одно ВПН-соединение на нем, а второе поднимать, как сейчас, на локальной машине и пропускать через роутер. Как я понял роутеры умеют пропускать через себя ВПН-туннель.

Просто у меня есть два акка у провайдера. И хочется чтобы деньги шли отдельно по каждому акку. Один акк - для одной особой машины и второй - для всей остальной локалки. Предложение считать траффик самому и оставить только один акк (один ВПН) тривиально и не рассматривается.

Если можете, подскажите пожалуйста, какую модель выбрать, если хочется иметь и вай-фай и проводной роутер с вышеизложенными требованиями. Хочется, чтобы ВПН на роутере автовосстанавливался при обрыве со стороны провайдера и чтобы поменьше было связанных с этим головняков.

-Спасибо.

По-моему все зациклились на поднятии VPN самим D-Link'ом... В этой схеме - не надо. Если у Вас всего два компа (а не две подсети), так пусть они сами и поднимают VPN (на тот самый один VPN-сервер, но с разыми логинами), а для того, чтобы при этом локальный обмен файлами не переставал работать, надо на каждом компе прописать постоянный статические маршруты на адреса локалки, чтобы они не шли во вутрь VPN, а разруливались локально. Тогда само устройство может быть достаточно стандартным маршрутизатором с одним WAN и без всяких множественных VPN.

А вот если под PC1 и PC2 подразумеваются две подсети с несколькими компами в каждой, между которыми нужен локальный обмен файлами, но разные логины на VPN-выход в инет, то тогда проще не мудрить, а поставить перед каждой подсеткой по ещё одному роутеру с поддержкой того, что тут на форуме назвали 'Dual Access'. На каждом их этих роутеров поднимается PPTP на WAN с соответствующими подсетке логином и паролем + дополнительно прописываются статические маршруты для локального обмена файлами между подсетками в обход VPN-ов.

Вот и всё. Вроде так - наиболее просто и функционально будет.

Дык, зачем тогда маршрутизатор?
Просто свитч - и все сразу работает.

Только не надо придумывать непонятно зачем 192.168.0.Х, а работать сразу 10.0.х.х - 10.0.х.у.
(если провайдер дал два VPN - то пару локальных адресов даст без вопросов)

Ну в принципе да, но лучше всё-таки отфайрволиться от сети самого ISP, а для внутренних портов усройство и так будет работать свитчём.

Не вполне согласен: адреса лучше выбирать не перекрывающиеся с внутренней сеткой ISP (я вообще часто использую адреса вида 172.28.x.x), а второй провйдерский адрес могут и не дать... всякое бывает...

Это как? А как тогда VPN соединение поднять, если VPN сервер недоступен? Непонятно.

И в плане роутера - аппаратный файервол это неплохо, но когда в нем нет необходимости резать свою инетную скорость я бы не стал.