Здравствуйте.

Недавно купил DIR-615 для доступа к локалке (и инету) с ноута со сгоревшим входом сетевушки. Роутер поставил между локалкой и другим ноутом (который подключил проводом к одному из LAN-портов). Первоначально были проблемы с DNS Relay (DNS-сервер один и находится в локалке, а не за впн-сервером) и доступом к локалке (при использовании PPTP для подключения инета) из-за весьма странных глюков роутинга. Первая проблема решилась выбором настройки Russia PPTP вместо PPTP (первоначально приходилось прописывать днс вручную), вторая - прошивкой 2.24RU.

Однако как только я захотел поднять FTP-сервер (да и самбу хорошо было бы открыть наружу), так сразу наткнулся на весьма неприятный облом. Шарить что-либо в локалку (т.е., на WAN-PHY интерфейс) можно лишь в режиме Static IP/Dinamic IP. И на каждом из компов, находящихся за роутером, придётся поднимать своё впн-подключение, да ещё и маршруты прописывать. Этот вариант, конечно, совершенно не подходит, т.к. имеется только один логин на впн-сервер. А если использовать режим Russia PPTP, то WAN-PHY интерфейс молчит как партизан: и пинги не слушает (хотя они для WAN включены), и TCP/UDP-пакеты отклоняет.

Из нестандартных настроек - INBOUND FILTER 10.0.0.0-10.255.255.255,172.16.0.0-172.16.255.255,192.168.0.0-192.168.255.255, который я использую в настройках VIRTUAL SERVER'а и PORT FORWARDING'а (соответственно, ftp-сервер на 21м порту одного из ноутов и куча портов для пассивного режима FTP). В разделе FIREWALL SETTINGS включены SPI и anti-spoof checking (кстати, хотелось бы знать, на сколько они пропускную способность снижают за счёт повышения нагрузки на процессор роутера), остальные настройки вроде дефолтные (т.е., фильтрация Address Restricted для UDP, Port And Address Restricted для TCP; DMZ отключена, а все галки в ALG Configuration проставлены). Пробовал ставить опции NAT Endpoint Filtering в Endpoint Independent и добавлять себя в DMZ, ничего не помогло.

Собственно, главный вопрос: возможно ли что-нибудь открыть для локалки, доступной только из интерфейса WAN-PHY, в режиме Russia PPTP (видимо, тот же самый вопрос следует ставить относительно других режимов в которых WAN и WAN-PHY - не одно и то же) на DIR-615? Если да, то что я не так делаю? Если нет, то появится ли такая возможность в будущих прошивках?

ап.
Хотелось бы услышать ответ от официальных представителей dlink-а о возможности приёма (и перенаправления во внутреннюю сеть) входящих пакетов на физическом внешнем (WAN-PHY) интерфейсе при доступе в интернет через PPTP на DIR-615.

upd: да, уточню на всякий случай следующее:
Firmware Version: 2.24RU B04
Hardware Version: B2
В логах - куча сообщений о блокировке входящих пакетов udp 137, 138 (в основном - broadcast'ы); tcp 1723 (и некоторых других); icmp и прочих.

возможность такая есть и работает, в т.ч. в режиме Russia PPTP
опишите настройки роутера

Internet connection type: Russia PPTP (Dual Access)
Address Mode : Dynamic IP
Reconnect Mode : Always on
Primary DNS Server, Secondary DNS Server : 0.0.0.0
MTU : 1400 (bytes)
MAC Address - установлен MAC сетевушки ноута
-----------
Router IP Address: 192.168.36.1
Subnet Mask: 255.255.255.128
Enable DNS Relay: yes
Enable DHCP Server: yes
DHCP IP Address Range: 192.168.36.20 to 192.168.36.100
DHCP Lease Time: 1440 (minutes)
Always broadcast: yes (compatibility for some DHCP Clients)
NetBIOS announcement: yes
Learn NetBIOS from WAN: yes
-----------
Virtual Server List - введён один сервер
Name: FTP
IP Address: 192.168.36.25 (этот адрес зарезервирован на MAC одного из ноутов)
Port: Public - 21, Private - 21
Traffic Type: TCP, 6
Schedule: Always
Inbound Filter: Allow Locals (10.0/8, 172.16.0/16, 192.168.0/16)
-----------
Port forwarding - введён один диапазон портов
Name: FTP - PASV
IP Address: 192.168.36.25
Ports to open: TCP: 38000-38999
Schedule: Always
Inbound Filter: Allow Locals (10.0/8, 172.16.0/16, 192.168.0/16)
-----------
Inbound Filter: Allow Locals
Allow : 10.0.0.0-10.255.255.255,172.16.0.0-172.16.255.255,192.168.0.0-192.168.255.255
-----------
Firewall Settings:
Enable SPI : yes
UDP Endpoint Filtering: Address Restricted
TCP Endpoint Filtering: Port And Address Restricted
Enable anti-spoof checking: yes
PPTP : yes
IPSec (VPN) : yes
RTSP : yes
SIP : yes
-----------
ROUTE LIST:
10.0.0.0/255.0.0.0 metric 1 gateway 10.129.111.1 interface WAN(Physical port)
172.16.0.0/255.255.0.0 metric 1 gateway 10.129.111.1 interface WAN(Physical port)
-----------
Advanced Network
Enable UPnP : yes
Enable WAN Ping Respond : yes
WAN Ping Inbound Filter : Allow All
WAN Port Speed : Auto 10/100Mbps

Думаю, другие настройки менее интересны?

любопытно почему выбраны такие настройки а не обычный 189.168.0.(1-200)

Router IP Address: 192.168.36.1
Subnet Mask: 255.255.255.128
DHCP IP Address Range: 192.168.36.20 to 192.168.36.100


и еще, какой адрес получает роутер по DHCP от провайдера?

Не редко ВПН-сервера используют 192.168.0.x, кроме того виндовый нетворк коннекшн шаринг использует этот-же диаппазон. В любом случае, весьма странно было бы предполагать, что роутер отказывает в подключении именно из-за такого выбора ip-адресов.

WAN:
IP Address : 192.168.64.98
Subnet Mask : 255.255.255.255
Default Gateway : 192.168.0.1
Primary DNS Server : 10.129.10.2
Secondary DNS Server : 10.129.10.2

WAN-PHY (я эти настройки также прописывал статически, но это ни к чему не привело):
IP: 10.129.111.29
mask: 255.255.255.0
gw: 10.129.111.1

вроде бы для WAN должен быть интернет-адрес? а здесь оба из диапазона локальных, как же оно в интернет выходит?

далее, с какого именно вншнего адреса нет возможности приёма (и перенаправления во внутреннюю сеть) входящих пакетов?

у меня ФТП проброшен несколько по-другому см. здесь

а если Inbound Filter удалить?

и еще - если подключить ноут напрямую без роутера в локалку, все работает?

Роутер необходимо настроить в режиме DUAL ACCESS, прописать маршруты на локальную сеть провайдера, и настроить port forwarding.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Провайдер не предоставляет белый IP, т.е. все сидят за провайдерским натом, следовательно IP-адрес WAN-интерфейса - это адрес в виртуальной частной сети.

Возможности приёма нет с WAN-PHY интерфейса (т.е., провайдерского LAN'а). Т.е., пакеты тупо reject'ятся. Все кроме тех, которые относятся к PPTP-соединению.

Кстати, что касается 20го порта для фтп, соединение с него инициируется сервером в активном режиме, так что я не особо понимаю, зачем его слушать...

С Inbound Filter'ом попробую... Если подключить ноут напрямую, всё будет работать так-же, как если бы роутер был настроен в режиме Dynamic IP. А так как мой доступ к роутеру сильно ограничен, я экспериментировать не буду.

ооопс, извиняюсь. После просмотра пакетов Wireshark'ом понял, что виноват виндовый брандмауэр.

Тогда остаётся только один вопрос: как разрешить роутеру отвечать на пинги через WAN-PHY? А то без них локальные поисковики не сканят сервер

Так в режиме dual access он отвечаем на ping. Во вкладке Advanced -> Advanced Network поставьте галочку на Enable WAN Ping Respond

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Почему-то не работает.
Вот лог загрузки:После чего я безуспешно пытался пинговать роутер из локалки:...при этом в логах появилось следующее:
Настройка WAN Ping:
Enable WAN Ping Respond - стоит галка
WAN Ping Inbound Filter : Allow All

Пропишите на сеть маршруты.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Этих мало чтоли?

Кроме того, если бы их не было, я бы не смог с ноута обращаться к локалке за пределами сегмента. А я, как раз, вполне успешно с ней работаю

ДА действительно есть проблема, будем исправлять.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.