Крик души! Теперь не поднимается впн туннель по PPTP напрямую между роутерами DI-804HV и DI-704P! Ниже приведено подробное описание. Если кому-то лениво читать всё спуститесь до очередного жирного выделения.
Всем здравствуйте.
Начнём с того, что я не профессиональный админ, а просто продвинутый пользователь (профессиональный вебмастер). Так же в решении нижеследующей задачи принимали участие (владельцы компьютеров для которых решалась задача) - мой отец - профессиональный программист и мой младший брат - студент института по специальности информатика и вычислительная техника. К чему я это пишу? Да к тому, чтобы уважаемые участники имели представление о том, на какие вопросы мы можем дать ответы, а на какие нет. В общем, у нас нет никаких проблем с нажатием на клавиши и т.д. Но что-то глобальное в организации роутинга мы, конечно, можем упустить. Предвидя вопросы о том, что мне здесь никто не должен отвечать и рассказывать как всё должно работать, мол для этого есть небесплатные курсы - отвечу, что ИМХО оборудование класса SOHO должно быть всётаки более-менее доступно в настройке для вышеописанных категорий пользователей, а так же в решении моей задачи (пока безуспешно) принимает участие техподдержка D-link, к ней в общем-то, в основном, и адресовано данное сообщение.. В дальнейшем всё описанное проверялось всеми тремя неоднократно.
Итак, история следующая:
Имею:
1. DI-804HV, DI-704P, DSL-500T
2. Две квартиры имеющие доступ в районную локальную сеть (в сети статичные ip + запрет на любое оконечное оборудование + тьма кулхацкеров):
2.1. В первой квартире один комп + вышеописанная сеть + стрим
2.2. Во второй квартире два компа + вышеописанная сеть + сеть между этими двумя компами (в одном из компов 2 сетевые карты) + техническая невозможность подключения интернета посредством ADSL.
Глобальная задача - обеспечить всем трём компам:
1. защиту от непрошенных гостей из городской локалки
2. защиту от непрошенных гостей из инета
3. доступ в городскую локалку внезависимости от включённости любого из компов
4. доступ в инет через стрим внезависимости от включённости любого из компов
5. (опционально, не обсуждается) иметь доступ в инет через локалку (дорого).
Особенности подключения: локальная районная сеть может быть воткнута только в WAN порт у обоих роутеров. Все компы и ADSL модем включаются в LAN порты роутеров.
Что сделано и понято (начало решения задачи Вс Фев 13, 2005 10:46 pm):
1. Изначально был только DI-704P (достался с работы, но не бесплатно), надеясь получить решение вышеописанно глобальной задачи был докуплен DSL-500T вместо штатного стримовского USB ацтоя. Здесь, к слову сказать, у меня получилось реализовать задачу, но при условии своего постоянно работающего компьютера, на котором установил прокси сервер, да и защита в данном случае была посредственной.
2. После неудачных попыток настроить такую конфигурацию было перелопачено много факов, доков, оставлены сообщения в данном форуме (
http://www.dlink.ru/phorum/viewtopic.php?t=8832 ), поняты ошибки, ещё сообщение в форуме (
http://www.dlink.ru/phorum/viewtopic.php?t=8993 ), далее разговор с суппортами перешёл в асю, где мне просто и понятно объяснили, что данная задача на моём оборудовании не решается принципиально. Оптимальным решением будет покупка роутера DI-804HV, поднятия между DI-804HV и WinXP, или WinXP+SPII (последнее - естественно операционки компов в квартире 2) VPN тунеля работая через который оба удалённых компьютера имели бы и выход в инет через стрим и в локалку. Вариант без VPN суппорты предложили не рассматривать по причине слабой защищённости, да и я себе слабо представляю как тогда строить запрос удалённым машинам и кто будет работать проксёй.
3. Сказано - сделано, докупили DI-804HV и вооружившись факом (
http://www.dlink.ru/technical/faq_vpn_19.php ,
http://www.dlink.ru/technical/faq_vpn_18.php ) попытались реализовать задачу (DI-704P в это время мирно лежал выключенный). VPN не поднимается (
http://www.dlink.ru/phorum/viewtopic.php?t=9104 ), так же интересными были сообщения geran2004, до сих пор оставшиеся без комментариев тех. поддержки (
http://www.dlink.ru/phorum/viewtopic.php?t=9146 ). В общем, дальше следовали консультации по icq с техподдержкой. Исправления, сборка соединения как в жизни, через районную сеть, так и на столе, причём пробовали с любой из трёх машин (отключения брэндмауэров, снос фаерволов и т.д.) - всё безрезультатно. Делаем всё по факу - пинги не проходят.
4. Техподдержка предложила привезтироутер к ним в офис! Большое спасибо, что не кидаете! В 10 утра 25 февраля я был в московском офисе D-linka, захватил с собой DI-804HV, DSL-500T и свой системный блок (до последнего правда руки не дошли и он так и остался не включённым). В результате 6(!!!) часов, действий согласно факу, а так же без него технической поддержке в лице Романа Михневича и консультаций с другими специалистами не удалось добиться требуемого!!! При этом роль WinXP играл ноутбук техподдержки. Точнее некоторые сдвиги всё же произошли VPN через IPSec поднять всё же вроде бы удалось, т.к. со стороны ноутбука стал пинговаться лановский порт роутера, но остальные лан порты так и не пинганулись. При этом мой DI-804HV меняли на другой - безрезультатно. Вместо WinXP ставили юникс - всё работало. В общем-то без комментариев... Так же пробовали настроить VPN через PPTP, после чего суппорты сообщили, что WinXP не может быть клиентов PPTP... В общем я немного в шоке...
5. Просидев таким образом 6 часов в офисе D-Linka мне предложили поднять VPN по PPTP между DI-804HV (сервер) и DI-704P (клиент). Это конечно не так шифрованно, как по IPSec, но для моих нужд вполне достаточно + никакой связи с операционкой, в общем всё круто. Да и нстраивается вроде бы элементарно. Сказано - сделано. Приехал домой, всё настроил у себя, пошёл в квартиру 2, настроил - ничего не работает...
6. Принёс DI-804HV во вторую квартиру и собрал туже схему но в пределах одной квартиры. Итак есть два компа, один воткнут в лан порт DI-804HV и соответственно им управляет, другой воткнут в лан порт DI-704P и соответственно им управляет. Ван порты роутеров соединенены крестовым патч-кордом. Ван порты роутеров заведены в одну подсеть и соединенены крестовым патч-кордом, хотя в жизни в районной сетке они в разных сегментах. Лан порты тоже в одной подсети. До настроек впн - всё пингуется, как положено. ВПН не поднимается...
Вот скриншоты (названия говорят сами за себя).
http://tasselhoff.narod.ru/vpn/DI-804HV ... _stats.gif
http://tasselhoff.narod.ru/vpn/DI-804HV_status_log.gif
http://tasselhoff.narod.ru/vpn/DI-804HV ... e_info.gif
http://tasselhoff.narod.ru/vpn/DI-804HV_home_wan.gif
http://tasselhoff.narod.ru/vpn/DI-804HV ... n_pptp.gif
http://tasselhoff.narod.ru/vpn/DI-804HV_home_vpn.gif
http://tasselhoff.narod.ru/vpn/DI-804HV_home_lan.gif
http://tasselhoff.narod.ru/vpn/DI-804HV_home_dhcp.gif
http://tasselhoff.narod.ru/vpn/DI-704P_status_log.gif
http://tasselhoff.narod.ru/vpn/DI-704P_ ... e_info.gif
http://tasselhoff.narod.ru/vpn/DI-704P_home_wan.gif
http://tasselhoff.narod.ru/vpn/DI-704P_home_lan.gif
Добавить мне практически нечего... За исключением того, что сначала делаешь всё, как положено - не работает, потом начинаешь как мартышка перебирать все возможные комбинации настороек. Ситуация ещё усугубляется тем, что в логах ситуация иногда меняется, но такое ощущение, что внезависимости от введённых настроек...
Прошу помощи по (в моём понимании) простой задаче - установка впн тунеля между двумя роутерами.
Так же хочется отметить - когда я был в офисе д-линка и мы пытались всё это настроить - мимо проходил другой сотрудник техподдержки и вскользь кинул - мол что вы хотите от оборудования ценой в 70$? Мне есть что на это ответить. Я не пытаюсь заставить его работать незадокументированными способами. Я понимаю если бы я к нему подключил бы 100 компов и у меня начались глюки. Но у меня впн не поднимается две недели, с участием официальной техподдержки всего между двумя компами!
Причём у меня нет претензий к самой техподдержке - вы реально пытались мне помочь и надеюсь поможете всё же добить задачу... Но вот к оборудованию данной марки...
Кстати про оборудование: так и не удалось установить какие параметры применяются после кнопки применить, какие только после перезагрузки, а какие после выключения/включения устройств (касается всех описанных в посте). Так же с прошивками - отдельная песня. Ладно, что ничего нормально не работает на заводских прошивках. Прошивка на DI-804HV обновилась до последней с первого раза, правда работоспособности ему это не прибавило, зато прибавило несколько кнопок и галок, которые нигде не описаны. Ладно, что DSL-500T то конектится, то нет. Но с DI-704P вообще прикол - изначально на нём стояла древняя HW:B3 FW:2.73, так из всех прошивок, упомянутых на вашем сайте (
ftp://ftp.dlink.ru/pub/Router/DI-704P/Firmware/ ) на него установилась только V2.75b3, причём до её установки все остальные прошивки ругались на инвалидный файл апдейта, а после кричали что нераспознанный запрос. Лишь улыбку опять же вызывает редми по вышеописанной ссылке в котором говорится о прошивках, которых вообще нет на фтпишнике.
Поймите, пожалуйста, я не ругаюсь, ни на кого не наезжаю. Но право, это уже дело принципа. Мне крайне жалко всего свободного времени за последние 2 недели. Мне жалко уже почти 200$ потраченных на оборудование (кстати я его ранее брал, договариваясь о возврате, но теперь прошло уже много времени и думаю назад у меня его уже никто не возьмёт). Мне так же крайне жалко, что предупредив на работе о задержке в час я задержался на 6 часов. Еслиб мы знали заранее чем это кончится - даже не начинали бы. Помогите, пожалуйста, это всётаки настроить. Что мне теперь делать? Теперь два роутера к Вам вести? Отпрашиваться с работы на неопределённый срок без каких-либо гарантий? Может быть сообщить ещё какие-то данные, упущенные в данном сообщении?
--------
С уважением Константин
Вход
Регистрация
FAQ
Поиск
