Доброе время суток.

Уверен был, что кошмары наступят - и так и случилось. К проблеме.
Мной был приобретён маршрутизатор ADSL/ADSL2/ADSL 2+ DSL-2500U/BRU/D S/N P1M6286004826. Модем планируется использовать для связи, провайдер - Укртелеком (Украина). На модеме указана версия H/W D2 и F/W RU_1.20.

В связи с необходимостью некоторых дополнительных функций с нетерпением ждал новой прошивки и обновился. Сейчас прошивка RU_DSL-2500U_BRU_D_1.50_03042009.

Модем работает в режиме роутера, настройки были стандартные и ничто не предвещало беды примерно пару месяцев, позавчера это случилось. Началось с того, что с целью повышения безопасности на модеме был открыт файервол с запретом входящих TCP/UDP на порты 135:139, 445, 1433:1434, 2967. Данные настройки успешно эксплуатируются в офисе, где стоит старый модем Dynalink RTA230. Модем принял настройки, однако после перезагрузки на следующий день все настройки слетели, как при ресете. Пришлось прописать заново. После этого модем не связывается в режиме роутера, проходит только бридж. В роутере завязка происходит нормально, но в диагностике модема не проходят никакие пинги - ни на шлюз, на на дсн. Соответственно, дальше роутера-модема я никуда выйти не могу.

Не помогли ни ресет, ни повторная перепрошивка - ничего. Даже полный ресет с последующей установкой параметров по умолчанию (без каких бы то ни было дополнительных фич) для работы в режиме роутера не помогает. Самое обидное, что оригинальной прошивки, которая исходно была в модеме, на оффсайте нет - в итоге вместо обещанных фич я получил неработающее устройство.

Специалисты из техподдержки Укртелекома сказали, что нестабильное удерживание соединения в режиме роутера - обычное явление у D-Link, порекомендовали избавиться от модема, пока он ещё на гарантии. По их словам, проблема исключительно с моей стороны.

Очень не хотелось бы этого делать, возможно, кто-то подскажет выход из ситуации? Очень хотелось бы, чтобы этим "кем-то" были представители D-Link.

Вот, кстати, конфигурация, которая "похоронила" мой модем. Разница только в том, что в ней другая маска прописана в файерволе: backupsettings.conf

Приведите, пожалуйста, лог модема в момент попытки подключения.


А вот этот момент мне непонятен: firewall на модеме по умолчанию включен и блокирует все приходящие соединения со стороны WAN. Ничего дополнительно закрывать не требуется. Опишите, пожалуйста, последовательность действий которые Вы выполнили для закрытия портов.

1. Мне трудно в данный момент привести логи, поскольку я нахожусь не дома. Могу выложить их только вечером. Приведите подробно процедуру, какие именно логи вам нужны во избежание недоразумений.

2. Мне трудно сказать, что именно включено было в модеме, вполне вероятно, что в настройках WAN птичка на Firewall не стояла исходно, поскольку если все входящие блокируются - то откуда на мой компьютер приходили атаки на 1434 и 445 и как работал торент?

Подробно: активировал птичку Firewall в настройках WAN, затем во вкладке Security (так она кажется называется?) поменял политики: разрешать все исходящие, кроме тех, что блокируются (блокирующих правил нет) и разрешать все входящие, кроме тех, что блокируются (в правилах - запрет на 192.168.1.1/24 на те порты, что я приводил выше).

Кроме того: даже если мои настройки были неправильными - почему полный ресет и установка исходных параметров не восстановила работоспособность в режиме роутера? Чем объясняется слёт параметров в самом начале возникновения проблемы?

Странно - и кому я всё это писал?..

Итак, продолжаю своё грустный эпос.
Сделал откат на 1.40 - не помогает. Поставил поверх опять новую прошивку, ресетнул, залил установки по дефолту, заново прописал установки для связи - не помогает.

Тогда создал сразу две настройки WAN: и bridge и router. Соединился, потом bridge удалил. Сейчас полёт нормальный, за исключением следующих фактов, которые в принципе видны на скринах:





Где настройки NAT и Firewall? Почему я их активировал, а соответствующих меню нет?

ребята, я понимаю - бета-тестирование, но в пресс-релизе ни слова нет о том, что последняя прошивка - это бета.

Нашёл пока единственное решение, чтобы модем нормально держал связь и после перезагрузки восстанавливал соединение. В WAN должно быть прописано сразу два соединения: и для роутера, и для бриджа:



Тогда вроде работает:




При этом появились настройки NAT и Security (Firewall). В последнем нет привычных настроек соединений роутера, но есть МАС Filtering. Логично, поскольку в настройке WAN для соединения в режиме роутера я в этот раз галку Firewall снял нафиг.

Чую, что все проблемы - в ошибке в организации файервола.

Ждём комментариев разработчика...

К исходящим правилам вопросов нет. Непонятны ваши настройки правил по входящему трафику. Вы открыли себя вообще для любого трафика, за исключением тех правил, которые указали. Не вижу смысла в таком фаерволе. Логичнее было бы запретить вообще весь входящий трафик. Никаких правил в данном разделе не прописывать. А для работы ваших програм настроить трансляцию портов в настройках NAT.
МАС Filtering работает только на бридже. Если ваш модем настроен как роутер должны быть настройки NAT и Security.


Нормально он восстанавливает связь и при одном соединении PPPoE. Проверьте галочки Keep alive PPP connection и Bridge PPPoE Frames Between WAN and Local Ports

И еще маленький такой эксперимент. Уберите в настройках у себя Service Name.

_________________
DSL-2500U/BRU/D

Ну если я хочу открыть себе входящий - могу же я себе это позволить? На то есть ряд причин: нежелание поднимать UPnP, желание потестить своё ПО по защите от вторжений и т.д., и т.п. Речь о том, что сбой возник - я сейчас поднял свои записи - при смене политики входящего трафика на "разрешать кроме того, что запрещено" и прописывания запретов на порты, указанные выше. При этом запрет стоял для адресатов 92.0.0.1/255.0.0.0. И пошло-поехало...
Попробуйте воспроизвести ситуацию - у вас такого же не будет?


Это и понятно. Просто такое впечатление, что после попытки работать с файерволом в роутере что-то хорошо слетело в прошивке, что даже перепрошивка не помогает (мистика?)
Теперь включать файервол для роутера - смерти подобно. Однако не включать - тоже. Буду фантазировать - может повеселю, но такое впечатление, что где-то в настройках файервола висит какой-то баг, который я не могу убрать через веб-интерфейс, а когда поверх появляется настройки файервола бриджа - баг теряется.



Они по умолчанию активны, никто их не убирал.



Эксперимент хороший, обязательно попробую. Отпишусь вечером.

Отписываюсь. Поставил галки, как рекомендовали, убрал имя сервиса. Добавил файервол. Вроде работает. Хм, странно: при убирании галки Bridge PPPoE Frames Between WAN and Local Ports опять возникает проблема с блокировкой пингов до шлюза/днс, то есть видимо проблема в ней - но я точно помню, что раньше этой галки не было и всё работало! Чертовщина какая-то...

Теперь - по тому, из-за чего сыр-бор, по файерволу. Решил отложить в ящик эксперименты и реализовать по общим указаниям принцип "запрещено на входящие всё, что не разрешено". Уточню: к модему в режиме роутера подключен один компьютер, модем имеет адрес 192.168.1.1, компьютер - 192.168.1.2, в модеме прописан как DMZ.

Сейчас настройки такие:


Реальный IP присваивается динамически как 92.112.128.0-92.112.191.255.

Судя по тому, что приведённые выше правила ни фига не блокируют делаю вывод, что на входящий диапазон адресов нужно было прописать диапазон именно назначаемых реальных IP. Однако ни в том ни в другом случае не помогает: все порты всё равно остаются открыты. Тестирую следующим образом: в торренте меняю порт на входящие соединения, не меняя его значение в настройках модема - и всё работает, тест на http://www.utorrent.com/testport.php?port= тоже показывает открытый порт.

В чём дело? Сразу оговорюсь, что UPnP отключен как на модеме, так и в виде службы на компьютере.

да, файрвол на русских прошивках к 25x0 реально не работает.
сам являюсь обладателем и 2500 и 2540 и в шоке до сих пор.
а еще там со стороны LAN есть принципиально незакрываемые порты.
варианты:
1. использовать другие прошивки(если гарантия некритична и с оборудованием ISP - дружат, они).
2. непримлемый по этическим нормам, для публикации, здесь.
3. игнорировать потенциальные проблемы и как показывает практика - безуспешно. и весьма недешево, порой.

В DMZ зоне правила у вас не работают, т.к. хост находится перед фаерволом. и на него весь трафик разрешен. Так что можете все правила смело удалять. они лишние. В вашем случае я бы сделал так. Не заморачивался бы с DMZ. На входящий трафик убрал бы все правила и включил бы режим запрета всех входящих. А для работы торрентов и FTP сервера и прочих интернет приблуд прописал бы трансляцию портов в NATе.( естественно при включенном фаерволе и NAT) Функция Virtual Server - пример настройки здесь http://www.dlink.ru/ru/faq/160/139.html
А про галочку Bridge PPPoE Frames Between WAN and Local Ports здесь уже много и часто писалось. Без нее, почему то, не хочет модем давать связь.

_________________
DSL-2500U/BRU/D

У меня то же работает. Но у некоторых без нее ни как.

_________________
DSL-2500U/BRU/D

Мда, забыл я про принцип demilitarized zone... Сейчас исправим!

А зачем NAT настраивать? Закрываю DMZ, прописываю хост в NATe, пишу виртуальный сервер вот так:

в итоге траффик должен идёт согласно правил файервола. А нет, дорогие, все порты открыты! Ну и смысл тогда файервола? И каким образом мне теперь разрешить входящие на любой порт локального хоста, если исходящий порт - 20?

Честно говоря, ОЧЕНЬ разочаровываюсь в D-Link. И особенно удивляет, что Господа Умные Дяди от разработчика пришли в начале, умно поковыряли в носу, а потом испарились, и приходится проблемы ИХ прошивки на ИХ модеме решать исконно русским способом - советами тех, кто ужё обжёгся.
У вас, уважаемый pirks77, я не заметил метки сотрудника D-Link, а помогаете так, что ОГРОМНОЕ вам спасибо!

Azzyxx
Похоже, вы правы. Блин, сэкономил 40 баксов, не взял Zyxel - теперь имею геморрой....
Какие альтернативные прошивки вы использовали? Заливали по TFTP?

Чем могу

_________________
DSL-2500U/BRU/D