Добрый день. Задача соеденить два офиса тоннелем VPN с помощью двух DFL-210. В одном офисе статический IP. В нем по FAQ настроил динамический тоннель. Подскажите как настроить DFL-210 - клиент, подключенный во втором офисе, где динамический IP?

Что именно вы настраивали? IPsec?

В офисе с динамическим адресом надо просто настроить IPsec с указанием удаленного адреса.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1.Я настроил IPsec.
2.А по поводу настройки IPsec в офисе с динамическим IP могу ли я воспользоваться настройками из "Настройка IPSec между межсетевым экраном DFL-210/800 и DI-804HV"? К сожалению это мой первый опыт и как настраивается IPsec я не знаю. Мне нужен пример.

Настройки в принципе должны быть симметричными между устройствами. Настраивайте по аналогии с первым.

Ну или показывайте что у вас и как настроено.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Где-то была такая рекомендация
На DFL с динамическим адресом настроить dyndns, и стандартно настроить IPSec.
На DFL с другой стороны в настройках тоннеля в remote endpoint укажите dns:xxx где xxx это url зарегистрированный в dyndns.

Или - без dyndns, тогда в remote endpoint указывается диапазон адресов, которые может получить DFL с динамическим адресом (как самый плохой пример - allnets).

Буду пробовать. Спасибо. Еще один вопрос. Почему я не могу изменить IP LAN DFL на 192.168.0.1, как и на любой адрес из сетки 192.168.0.0/24? Пробовал на двух девайсах. На 192.168.2.1 меняется без вопросов.

Это проблема не DFL, а ваша.
Проблема или браузера, или сетевых настроек.
Поищите по форуму, аналогичных вопросов много.

Самое простое решение - прописывайте адреса обоих подсетей на ПК одновременно, тогда все пройдет хорошо.

Ну и 192.168.0.0/24 - это 192.168.0.(1-254), если уж (для информации).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

С доступом из локалки разобрался. Спасибо за подсказки. Сегодня настроил и установил DFL в офисе со статическим IP (внутрення сеть 192.168.0.0/24). После этого настроил и установил модем в другом офисе с динамическим IP. При обращении к адресу 192.168.0.1 в логах DFL вижу:
2009-09-25
19:12:13 Info IPSEC
1802043
ipsec_sa_informal
spiin="71151fa2 " spiout="118e1253 " alg=aes-cbc keysize=/128 mac=hmac-md5-96
2009-09-25
19:12:13 Info IPSEC
1802058
ipsec_sa_informal
local_id="192.168.2.0/24 any" remote_id="192.168.0.0/24 any"
2009-09-25
19:12:13 Info IPSEC
1802703
ike_sa_negotiation_completed
ike_sa_completed
local_peer="192.168.1.20:4500 ID 192.168.1.20" remote_peer="82.144.198.107:4500 ID 82.144.198.107" initiator_spi="1f4d3721 e4b35e9d" responder_spi="1c052e97 4838e743" int_severity=6
2009-09-25
19:12:13 Info IPSEC
1802040
ipsec_sa_negotiation_completed
ipsec_sa_enabled
sa=Initiator info="NAT-T, tunnel" local_peer="192.168.1.20:4500 ID 192.168.1.20" remote_peer="82.144.198.107:4500 ID 82.144.198.107" spi_in="ESP 71151fa2"

в Status-->IPsec SAs вижу:
Remote Gateway Local Net Remote net Protocol
82.144.198.107 192.168.2.0/24 192.168.0.0/24 aes-cbc

Значит я так понимаю туннель установлен? Но я не могу ни пингануть машины из другой сети, ни выйти на них. Может я забыл что-нибудь?

В принципе да. Но не понятно что у вас установлено как ID.

С другой стороны, запустите ping -t и посмотрите в Status-Connections, есть направление на VPN или нет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Проверил: Ping идет на VPN. Ура! Значит тоннель есть. Думаю, что проблема в очередности правил. К сожалению ездить далековато, чтобы менять настройки.

А вы настройте удаленное управление тем DFL, да прикрутите если надо DynDNS.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Удаленное управление буду настраивать. Это нужная вещь. Поменял очередность правил. Свои поставил первыми, но ничего не изменилось. Вот логи после успешной установки тоннеля:
2009-09-28
09:29:44 Warning RULE
6000051 Default_Access_Rule TCP lan 192.168.5.1
192.168.0.1 1545
139 ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1
2009-09-28
09:29:38 Warning RULE
6000051 Default_Access_Rule TCP lan 192.168.80.1
192.168.0.1 1547
139 ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1
2009-09-28
09:29:38 Warning RULE
6000051 Default_Access_Rule TCP lan 192.168.179.1
192.168.0.1 1546
139 ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1
2009-09-28
09:29:38 Warning RULE
6000051 Default_Access_Rule TCP lan 192.168.5.1
192.168.0.1 1545
139 ruleset_drop_packet
drop


Подскажите где копать.

139 порт - это вроде NetBios, а вы же пинговать пытались.

Покажите таки ваши правила, с обоих сторон.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Все правила делал четко по FAQ. На стороне со статическим IP:
1.Name: from_ipsec
Action: allow.
Service: all_tcpudpicmp
Source Interface: Dynamic_IPSec.
Source Network: all-nets
Destination Interface: lan
Destination Network: lannet

2.Name: to_ipsec
Action: allow.
Service: all_tcpudpicmp
Source Interface: lan.
Source Network: lannet
Destination Interface: Dynamic_IPSec
Destination Network: all-nets

На стороне с динамическим IP
1.Name: IPSec_to_lan
Action: Allow
Service: all_services
В Address Filter
Source:
Interface: tunnel
Network: IPSec_remote_net
Destination:
Interface: lan
Network: lannet

2. Name: lan_to_IPSec
Action: Allow
Service: all_services
В Address Filter
Source:
Interface: lan
Network: lannet
Destination:
Interface: tunnel
Network: IPSec_remote_net