Hi
Живёт у меня DFL-210, настроен на нём сейчас pptp сервер для подключения удалённых клиентов. Так же настроен ipsec для для соединения с DI-808. Всё точно по FAQ, всё работает.
Теперь вот захотелось сделать pptp lan to lan. В качестве сервера DFL-210, клиентом будет RRAS Win2003, за которым небольшая сетка, из которой в свою очередь должен быть доступ к сетке за DFL.
Поскольку PPTP сервер у меня уже был настроен попытался в rras создать интерфейс. Удалось, подключился, с/на сервер пакеты ходят. А вот обесети между собой никак. Естественно маршруты до сетей добавлял на клиенские станции, маршруты и правила на DFL то же добавлял. Не работает. Вот потратив большую часть дня всё же решил спросить - я правильным путём иду? В windows я уверен, а вот DFL Может как то по другому надо настраивать когда когда не один pptp клиент, а сеть за pptp клиентом?
P.S. Форум читал, стандартный ответ техподдержки: ipsec lan to lan. Нужно PPTP либо L2TP VPN

Во-первых, вам надо сделать большой упор на настройку РРТР сервера на 2003.

А во-вторых, 2003, насколько мне известно, может и IPsec сделать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

olhovik, правила покажите. Там нужно использовать NAT для пакетов от сетки за DFL до сетки за виндой. Также необходимо либо явно указать маршрутом подсеть за виндой (за VPN), либо в свойствах логина на DFL, с которым происходит соединение с винды, прописать "сеть за клиентом", т.е. подсеть за виндой. Ну а на винде все просто настроить.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Вот насчёт NAT не понятно, я на клиенте в сети за dfl сделал route add до сетки за виндой, указав LAN интерфейс DFL. На клиента за виндой то же.
Вот правила касаемые pptp - 1 и 2 это из faq для одиночного клиента, 3 и 4 добавил для сети. EUgliLocalNet - сеть за виндой.
1 FromPPTPclient Allow pptp_server pptp_ippol lan lannet all_services
2 ToPPTPClient Allow lan lannet pptp_server pptp_ippol all_services
3 FromUgli Allow pptp_server EUgliLocalNet lan lannet all_services
4 ToOffice Allow lan lannet pptp_server EUgliLocalNet all_services

Вот все маршруты, добавил только последний
Маршрут Tunnel IpSecRemNet 90 No Direct route for network IpSecRemNet over interface Tunnel.
Маршрут wan wannet 100 No Direct route for network wannet over interface wan.
Маршрут wan all-nets wan_gw 100 No Default route over interface wan.
Маршрут dmz dmznet 100 No Direct route for network dmznet over interface dmz.
Маршрут lan lannet 100 No Direct route for network lannet over interface lan.
Маршрут pptp_server EUgliLocalNet 10 No

Правило 1 и 3 удалить, в правилах 2 и 4 поменять Allow на NAT.
Удаленная винда будет видеть только один адрес - PPTP сервера. Если необходимо из сетки за виндой соединяться с конкретным IP за DFL, но необходимо просто пробрасывать конкретный порт. Прозрачно работать, как в случае с IPSec, не будет.


Это лишнее, ибо для них DFL и так является шлюзом для любой сети, не находящейся за DFL. Ну если, конечно, у Вас в сети несколько шлюзов, тогда маршрут прописывать надо.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Ну правила 1 и 2 из фака, 3 и 4 добавлял сам.
Так оно всё таки прозрачно будет работать или нет? Понятно, что при нате надо порты пробрасывать, у меня именно allow стоит, что бы прозрачно. У меня вопрос то был: получится lan to lan при помощи pptp/l2tp, или всё таки IPSEC обязателен ?

Из какого именно FAQа, можно ссылку? Прозрачно не будет работать, если я не прав, пусть саппорт опровергнет. lan to lan широко трактуется, про прозрачность в первом посту ничего не сказано было, а сетки тем не менее соединяются и имеют доступ друг к другу

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Давно так работет для удалённых клиентов:) Вроде вот по этому http://www.dlink.ru/ru/faq/85/479.html

А насчёт прозрачности наверрное был неправ, уточняю вопрос: прозрачно соединить 2 сети при помощи dfl-210 и rras win 2003 при помощи l2tp/pptp. В справке по win site to site при помощи rras l2tp/pptp описывается, вот интересуюсь у dfl какая хитрость есть.

Вы не путайте пример из FAQа, где соединяется единичный клиент с одним IP адресом, и Ваш вопрос, где за единичным клиентом фигурируют многие IP (целая подсеть).
Про прозрачный режим я уже написал. Если у кого будут другие мысли, пусть озвучат.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Знаете, сейчас глянул technet майкрософта, там есть какая-то галочка типа enаble IP routing на dial-up интерфейсах. Думаю, все-таки возможно сделать прозрачный режим, т.е. без NAT. Как я писал ранее, в свойствах логина на DFL, с которым происходит соединение с винды, прописать "сеть за клиентом", т.е. подсеть за виндой. Аналогично сделать и на win server, но там придется еще и покопаться с настройками маршрутизации. В этом случае правила на DFL оставьте как есть, т.е. Allow.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Ура. Итак, на самом деле у dlink есть инструкция как настроить site to site pptp, но она в pdf на ftp, а не в faq. Но там единственное существенное различие - действительно сеть за клиентом, по другому никак нельзя добавить маршруты. Но впрочем мне это не помогло. Но направило на верный путь - взглянуть на таблицу маршрутизации роутера Раньше этот офис был связан через ipsec и этот канал через arp proxy добавлял машрут, получалось 2 маршрута с одинаковой метрикой, но ipsec'овский был выше pptp'шного В разделе route оба не отображались.