Help Ж!Ж
Доброе время суток! Прошу помощи в настройке VPN DS-605 на DFL-800. Все сделал как сказано в статье http://dlink.ru/technical/faq_firewall_35.php, как только делаю "сохранение конфигурации" пропадает интернет т.е. пинги до DNS провайдера есть, а вот интрнета нет!
Значит немного о моем конфиге на DF-L800:
Интернет задействован только на wan1.
Имеються 2 подъсети, одна реализована на lan, другая на dmz (чтобы работал dmz, задействовал ARP).
ARP сделал следующее - Mode: Publish, Interface: dmz, IP Address: dmz_ip, Mac: нет.
Подскажите что я делаю не так???

С Уважением О.

ARP тут вам совершенно не нужен. Я не знаю почему у вас падает интернет без логов и не видя конфигурации.

Уважаемы Сергей, прошу прощения, но я новичок, не могли бы вы подсказать как выгрузить логи и конфигурацию с dfl-800!

P.S. ARP действительно не нужен)) это у меня бзик от работы.

Сергей, я еще поэкспериментировал с pptp. Как только открываешь тоннель pptp сразу отваливаться www. Но при этом я вижу сеть провайдера, т.е. пингую его DNS.

Потому, что весь трафик заворачивается в тоннель, у тоннеля "свой DNS" В свойствах PPTP сервера вам надо указать, чтоб выдавался и DNS, но при этом убедитесь, что правилами разрешен выход от PPTP клиента в интернет. Так же вы может снять галочку в PPTP клиенте windows, чтоб он не использовал тоннель в качестве маршрута по умолчанию.

Значит если DNS необходим для PPTP сервера, то следовательно в моем случае с VPN DS-605 тоже необходим свой DNS? Обязательно сегодня вечером поэкспериментирую с данными рекомендациями!
Прошу прощения заранее, если буду не прав!

Следовательно, в статье http://dlink.ru/technical/faq_firewall_35.php
"как настроить клиентское программное обеспечение VPN DS-605 для соединения с DFL-800" даны не совсем корректные рекомендации по настройке тоннеля???
Прошу прокомментировать данную ситуацию.

С Уважением О.

Я не совсем был корректен в посте выше, вы указали в DS жестко удаленную подсеть?

Прошу прощения, но зачем мне сейчас прописывать в установленном ПО удаленную подсеть? Когда у меня FireWall начинает сворачивать весь траф кудато)))? при настройке по этому факу http://dlink.ru/technical/faq_firewall_35.php
У меня проблема не с клиентом, за него я еще не брался! У меня dfl-800 перестает пускать внутренний трафик на wan1. Как пытаюсь настроить VPN.

C Уважением О.

Приведите настройки IPSec тонеля на DFL к которому подключаются клиенты DS

Сергей, я тут вчера вечером "колдовал" с разными параметрами и наткнулся в функциях Routing Tables - main, там есть параметр "metric" - для чего это???

Для того, чтоб можно было выбрать между для одинаковы по длине маршрутов (например к all-net) тот который будет обрабатываться первым.

Когда я подымаю «ipsec» на DFL800 у меня в «Routing Tables» в параметрах «main» появляется тоннель, но "metric" у него равен 90, а для wan1, lan, dmz стоит 100!
Я так понимаю при поднятии «ipsec» тоннеля, весь трафик идет по более низкому "metric", по этому и пропадает Интернет.
Пробовал изменить в ручную "metric" на «ipsec» с 90 на 100. Все встает на свои места. Появляется Интернет, трафик ходит за wan1.
Пробую соединяться с DFL800, через ПО DS605 конект на ура проходит!
Но теперь, не пойму, откуда клиентское ПО берет IP для клиента VPN??? То есть в правилах «ipsec» тоннеля сказано, что бы «ip» присваивал «lannet». У меня DHCP на DFL800 не активный, «IP» у меня раздает сервер за Firewall. Я совсем запутался(( Обидно до боли....

Если у вас в IPSec в качестве remote net указано all-nets то подобное может наблюдатся. По поводу получения IP удаленным клиентом, если вы посмотрите на DFL, какие тоннели подняты, вы увидите, что тоннель поднимается точка точка, удаленный клиент не получает IP внутри сети.

IP адрес VPN подключения прописывается в профиле DS-605. Там есть разные варианты. Я использую ручное назначение (фиксированный IP), только из подсети, отличной от lannet. С фиксированным IP проще удаленно админить клиента (винду). А из другой подсети - потому что иначе не работает.

Насчет описанной Вам проблемы - согласен, полный маразм от Dlink, вернее от разработчиков документации, которые об этом умалчивают.

Если у вас, скажем, прописано правило для маршрута по умолчанию, например, чтобы весь интернет роутить на wan1 и при этом вы создаете IPSEC тоннель с "открытым концом", то есть remote gateway - none, remote network - all-nets - происходит следущее. Весь трафик заворачивается в ТОННЕЛЬ, а не на wan1!!!

Можно играться с метриками. Однако мне помогло вот что - я просто поставил правило для "открытого" IPSEС самым последним по порядку. Просто сдвинул его вниз.
Как только вы создаете новое правило - не забудте снова "открытый" IPSEC сдвинуть вниз.

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Если вы в IPSec указывайте в качестве remote net, all-nets, убедитесь что у вас не стоит, добавлять этот маршрут, а включенно добавлять маршрут на удаленную подсеть динамически, это решит проблему