Помогите ламаку



- сетка 192.168.0.0 -> есть выход в инет через шлюз 0.125
- сеть подключена к Dl-804 который через второй канал (VPN провайдера)
подключена ко второй Dl-804 и к сетке 192.168.2.0
- делаю VPN между двумя 804ми
- прописываю на сетевой карточке, шлюз 0.193 (IP Dl-804)
- и спокойно пингую шлюз на той стороне 2.193 (IP Dl-804) и захожу на
него, но при этом не вижу остальные машины за шлюзом, но они
пингуются с удаленного шлюза из меню Tools -> Misc -> Ping Test

Вот лог с Dl-804
WAN Type: Static IP Address (V1.50b08)
Display time: Tuesday September 23, 2008 10:30:15
Tuesday September 23, 2008 10:30:13 Send IKE (INFO) : delete [192.168.0.0|10.1.1.2]-->[10.1.2.2|192.168.2.0] phase 2
Tuesday September 23, 2008 10:30:13 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.2.0
Tuesday September 23, 2008 10:30:13 inbound SPI = 0x42007543, outbound SPI = 0x54004040
Tuesday September 23, 2008 10:30:13 Send IKE (INFO) : delete 10.1.1.2 -> 10.1.2.2 phase 1
Tuesday September 23, 2008 10:30:13 IKE phase1 (ISAKMP SA) remove : 10.1.1.2 <-> 10.1.2.2
Tuesday September 23, 2008 10:30:13 Send IKE M1(INIT) : 10.1.1.2 --> 10.1.2.2
Tuesday September 23, 2008 10:30:13 Receive IKE M2(RESP) : 10.1.2.2 --> 10.1.1.2
Tuesday September 23, 2008 10:30:13 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Tuesday September 23, 2008 10:30:13 Send IKE M3(KEYINIT) : 10.1.1.2 --> 10.1.2.2
Tuesday September 23, 2008 10:30:13 Receive IKE M4(KEYRESP) : 10.1.2.2 --> 10.1.1.2
Tuesday September 23, 2008 10:30:14 Send IKE M5(IDINIT) : 10.1.1.2 --> 10.1.2.2
Tuesday September 23, 2008 10:30:14 Receive IKE M6(IDRESP) : 10.1.2.2 --> 10.1.1.2
Tuesday September 23, 2008 10:30:14 IKE Phase1 (ISAKMP SA) established : 10.1.2.2 <-> 10.1.1.2
Tuesday September 23, 2008 10:30:14 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.2.0
Tuesday September 23, 2008 10:30:14 Receive IKE Q2(QRESP) : [192.168.2.0|10.1.2.2]-->[10.1.1.2|192.168.0.0]
Tuesday September 23, 2008 10:30:14 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Tuesday September 23, 2008 10:30:14 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.2.0
Tuesday September 23, 2008 10:30:14 IKE Phase2 (IPSEC SA) established : [192.168.2.0|10.1.2.2]<->[10.1.1.2|192.168.0.0]
Tuesday September 23, 2008 10:30:14 inbound SPI = 0x440038ee, outbound SPI = 0x5600bcdb

Вот что показывает VPN Status

VPN Status
VPN status display VPN connection state.
IPSec PPTP L2TP
Name Remote Network Local Network Type State Life
Time Drop
IP Address/
Subnet Mask/
Gateway IP Address/
Subnet Mask
putty_znam 192.168.2.0/
255.255.255.0/
10.1.2.2 192.168.0.0/
255.255.255.0 ESP tunnel IKE established 28729

_________________
Зачем пить и ехать если можно курнуть и полететь.

Уже по разному пробывал но никак не получается, подскажите что сделать чтобы заработало.

_________________
Зачем пить и ехать если можно курнуть и полететь.

Техподдержка Вы где ? нужна Ваша помощь, подскажите где я делаю не так.

Прошивка V1.50b08

_________________
Зачем пить и ехать если можно курнуть и полететь.

В той сети, которая 192.168.2.0, надеюсь у машин основным шлюзом прописан 192.168.2.193 ? Просто для проверки...
Я как-то тоже по-началу забыл об этой "мелочи" в подобной схеме, и долго удивлялся, почему IP-пакеты не могут найти путь назад (в сетку на другом конце туннеля).

В сети 0.0 прописал шлюз 0.193 и пингую 2.193 но не вижу сети дальше.
Когда удалено залезаю через web интерфейс на 2.193 то с нее пингую всю сеть 2.0 а в обратную сторону вижу только 0.193 но не вижу сети 0.0

Как я понимаю что-то с маршрутизацией но не понимаю что делать.

_________________
Зачем пить и ехать если можно курнуть и полететь.

Может я неправильно указал здесь dns ?

_________________
Зачем пить и ехать если можно курнуть и полететь.

Вы не ответили на мой вопрос:
В той сети, которая 192.168.2.0, у машин основным шлюзом прописан 192.168.2.193 ?
Это - важно! А DNS тут имеет второстепенное значение.

Спасибо, прописал на машине шлюз 2.193 и стал видеть машину с другой стороны на которой прописан 0.193
Тогда вопрос, в сети 0.0 машины лезут в инет через шлюз 0.125 как сделать чтобы в сети 2.0 были видны они, ведь если поменяю на другой шлюз то они не будут видеть инета ?

_________________
Зачем пить и ехать если можно курнуть и полететь.

Тогда пусть у них основным шлюзом будет прописан 192.168.0.125, но чтобы они при этом нормально взаимодействовали с другой сетью, надо на каждой из них дать команду:
route add 192.168.2.0 mask 255.255.255.0 192.168.0.193 -p
Это называется "прописать правило статической маршрутизации".
На другом конце туннеля, как я понял, проблем с необходимостью прописывать разные шлюзы нет. Поэтому у всех тех машин шлюзом должен стоять 192.168.2.193

Да все ок но на той стороне 2.0 нужно чтобы они видели шлюз 0.125 и лезли через него в инет.

Сделал пока через прокси но нужно чтобы лезли через nat, прописал на бсд (0.125) редирект адресу 2.194 на выходящий адрес но на машинке из сети 2.0 tracert доходит до 10.1.2.1 и на нем затыкается не видя сети 0.0

Спасибо. сорри за тупость.

_________________
Зачем пить и ехать если можно курнуть и полететь.

Боюсь с 804-ыми на концах туннеля это сделать в Вашем случае не получится.D-Link не сможет так хитро маршрутизировать трафик. Тот D-Link, который 192.168.2.193 проталкивает в туннель ТОЛЬКО те пакеты из своей локалки, которые адресованы на IP вида 192.168.0.x (Вы же их сами ограничиваете маской в настройках IPSec-туннеля - 'Remote NetMask'). Остальные пакеты уходят в "буферную" сеть 10.1.x.x через шлюз 10.1.2.1, и, не найдя (как я понимаю) там интернета, теряются в никуда... потому trace и заканчивается на 10.1.2.1 (а не на другом конце туннеля, как Вы ожидаете). Короче, этот Ваш trace не то, что до 192.168.0.125, он даже до другого конца туннеля не доходит (точнее, даже в него не входит).

P.S. Кстати, кроме всего прочего, у Вас на схеме похоже есть опечатка: первый D-Link наверное имеет LAN-адрес 192.168.0.193, а не 192.168.1.193 ... :-)

Спасибо, все понял, действительно опечатка 0.193

P.S. Хотя может есть всеже способ, зачем там маршрутизация есть на 804х ?

_________________
Зачем пить и ехать если можно курнуть и полететь.

Маршрутизация там, чтобы запросы на какую-то определённую группу адресов направить не в шлюз по-умолчанию сети WAN (в Вашем случае 10.1.2.1), а в какой-то другой шлюз сети WAN (если конечно маска позволяет, а не как у Вас узкая 255.255.255.252). Но всё это, для "просто внешнего канала" (WAN), но не туннеля. Туннель - он сам работает, как один из маршрутов - такой "продвинутый статический маршрут" (да ещё и шифрованный) для той группы адресов на другом конце (у Вас это 192.168.0.x), что описана в его настройках. Не очень корректно конечно так говорить, но просто чтобы понятнее было.

Возможно коллеги и знают способ извратиться как-нибудь с маршрутизацией в этом случае, но в рамках штатного использования я вижу ситуацию именно такой, как Вам описал.
Если вдруг кто-то что-то хитрое Вам насоветует - отпишитесь здесь, будет интересно.

Ок. если что то получиться то обязательно отпишусь.

Интересно послушать Сергея Васильева, гуру все-же

_________________
Зачем пить и ехать если можно курнуть и полететь.