господа, подскажите.

такое дело, нужно связать две сети через pptp или ipsec с помощью dfl. все бы ничего, да у сетей одна и таже ip подсеть. изменить какую-либо подсеть - не представляется возможным.

очень надеюсь на помощь, потому как у самого что-то никакие мысли в голову не приходят....!!!

UP!

нашел в сети следующее:
http://zyxel.ru/content/support/knowledgebase/KB-1564

может можно что-то подобное реализовать на dfl?

С точки зрения обычных стандартов маршрутизации 3 уровня это невозможно. Я лично не знаю возможности "завернуть" маршрутизацию 2 уровня (прозрачную) в VPN.

Можно попробовать сделать маршрутизацию на основе IP адресов компьютеров в сетях, но конфигурация будет достаточно неявная и усложнится контролем, чтобы адреса не пересекались.

Ваша ссылка в принципе реализуема NATом с подменой source адресов, но остается вопрос с маршрутизацией, заворачиванием трафика на "удаленные" хосты через DFL (ведь с точки зрения стандартов они находятся в сети класса С и шлюз тут непричем). В конце концов, большой вопрос с поднятием IPsec с одинаковыми local и remote network.

Так ли уж невозможно изменить адресацию?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изменить IP сетей - невозможно. к каждой сети по меньшей мере с пару десятков других сетей подключено, плюс своя инфрастуктура AD и т.д. и т.п.

>Можно попробовать сделать маршрутизацию на основе IP адресов
>компьютеров в сетях, но конфигурация будет достаточно неявная и
>усложнится контролем, чтобы адреса не пересекались.
А это как? Можно поподробней?

IPSec - не принципиально, можно и PPTP можно и что-нибудь другое, главное чтобы шифровался трафик через Internet...

HELP!!!

Уважаемые специалисты компании dlink,

очень жду от вас компетентого комментария! если же это совершенно невозможно - напишите это!

Спасибо.

192.168.0.1/24---Lan--DFL-210---wan-----------wan--DFL-210---lan--192.168.0.1/24


Для начала нам надо скрыть lannet DFL, для этого создаем "фальшивую"
подсеть например 192.168.10.0/24. Затем в создаем маршрут такого вида:
Interface: core
Network: 192.168.10.0/24

Добавляем интерфейс IPSec
В качестве локальной сети указываем 192.168.10.0/24 (fake_net)
В качестве удаленной 192.168.11.0/24 (remote_fake_net)

А теперь пишем правила которые обеспечат работоспособность такого
варианта.

Первое правило SAT
Action SAT
services: all-services
lan - lannet -> IPSec - remote_fake_net
Во вкладке SAT выбираем Source IP Address, затем в поле New IP Address:
указываем 192.168.10.0

Второе правило Allow
Action allow
services: all-services
lan - lannet -> IPSec - remote_fake_net

Этими двумя правилами мы подменяем IP нашей lan сети на IP адреса
fake_net

Теперь надо создать правила для обратного трафика.

Action SAT
services: all-services
IPSec - remote_fake_net -> core fake_net
Во вкладке SAT выбрать Destination IP Address, затем в поле New IP
Address: 192.168.0.0

Action NAT
services: all-services
IPSec - remote_fake_net -> core fake_net

Этими правилами мы обеспечиваем трансляцию адресов из fake_net в lannet.

на другом DFL все делается зеркально.

Если устройства корректно настроены то обращаясь на адрес "фальшивой"
сети 192.168.11.1 мы попадаем на 192.168.0.1, на 192.168.11.2 это
192.168.0.2 и т.д.

Если не ошибаюсь, корректно еще будет добавить маршруты с публикацией ARP?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

да, сорри.

Спасибо большое. пробую.

пока что не получается.... а какие маршруты добавлять? я так понимаю: нужно
interface: core
network: local_fake_net

proxy arp: lan

так?

Класс! Работает!

сорри не обратил внимание на
>Во вкладке SAT выбираем Source IP Address, затем в поле New IP Address: указываем 192.168.10.0

P.S. только не понял что там с публикацией arp proxy... это зачем?

Все вроде сделал по инструкции из предыдущих сообщений.

Результат: с обоих DFL корректно пингуются свои локалки по адресам 192.168.0.0 (ну, это очевидно). С каждого DFL по fake адресам пингуется соседняя сеть (с 1-го DFL корректно пингуются адреса 192.168.11.0) и почему-то вся своя сеть (с 1-го 192.168.10.0 (вне зависимости от наличия подключенных к сети устройств).

Где накосячил - никак не соображу.

И еще вопрос: можно ли все-таки добиться того, чтобы с обеих сторон туннеля были доступны все устройства по родным IP адресам, вне зависимости от того, с какой стороны канала они подключены.
Адреса, понятное дело, уникальны (не пересекаются)

Заранее благодарен за помощь.

Еще одно:
если иду вебом по любому адресу 192.168.10.0 - попадаю на 1-й DFL, если по 192.168.11.0 - на второй

Спасибо еще раз поддержке D-Link, указанная схема работает без проблем до сих пор.
Однако в ближайшее время собираемся таки разделить адресное пространство и одна из сетей потиходньку "мигрирует" в новую IP сеть.

В этой связи, вопрос, есть ли решение для следующего расширенного варианта с fake сетями, где с одной стороны будет существовать не только fake, а еще и обычная сеть?

Пока что крутил-крутил, ничего не получается.

Спасибо.

Не факт... Надо пробовать
В параметрах IPsec local/remote nets пропишите группы из fake и реальных сетей
В IP rules добавьте allow правила на основании реальных lannet'ов

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc