Интересует вопрос, есть ли в линейке новых NAT роутеров, в том числе с Wi-Fi, модели, обеспечивающие схожую производительность c DFL-210.

Интересует несколько моментов:
1) Производительность при работе с провайдером с PPTP и внутренней локалкой (Dual Access)

2) Производительность при работе с провайдером с без PPTP с фиксированным IP

3) Есть ли большая база локальных MAC адресов для разделения локальных пользователей на группы с разными правами доступа (как это было в DI-LB604)

Хотелось бы роутер с большим количеством правил и прочих полей для заполнения виртуальных серверов, маршрутов, фильтрации адресов и т.п., но на бытовом уровне без заморочек с DFL.

Или всетаки DFL-210 будет лучше?

Если вы понимаете для чего предназначен функционал DFL и в состоянии им воспользоваться, то естественно он вне конкуренции. К тому же, ни один из бюджетных роутеров не сможет поддерживать 2 провайдеров. А WiFi добавляется отдельной точкой доступа (я так и сделал).

По поводу DIR - недалеко Сергей писал про то, что у DIR-855 производительность РРТР на уровне 100-120 мбит, это в принципе даже шустрее DFL-210. Но я бы менять не стал.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Второго провайдера мне подключать не надо через одно устройство.
По схеме будет 4 провайдера и 4 устройства.

Я хочу понять, что из возможностей обычного NAT роутера я потеряю выбрав DFL-210.
Кроме того, из-за его гибкости, все тривиальные задачи превращаются в настоящий гемор. Взять хотябы разрешение административного доступа из интернет, правило в Remote Mgmt создал: https, WAN, all-nets. А всеравно пишет на попытку подключения к https://wan-ip извне - невозможно отобразить страницу...

И есть ли в нем легкий способ завести профили на каждый комп локалки, чтобы блокировать его трафик при необходимости.

И маршрут через второй шлюз в локальной сети что-то не получилось заставить работать.

DDNS у него тоже нет.

Что еще у него не так как у простых роутеров?

У него все не так как у SOHO игрушек. За это и ценим

Для удаленного управления достаточно добавления соответствующего remote management и галки remote management before rules.

Я не понимаю, что за "профили". Если вы подразумеваете групповые операции, то пишите правила для групп адресов, в которые по необходимости добавляйте объекты.

Маршруты - без проблем. Опишите что вам надо и что сделали.

DDNS есть, в misc clients.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за поддержку, danilovav.
Сейчас мне важно разобраться поверхностно в функционале, чтобы все что мне нужно было выполнимо, а с деталями буду позже разбираться.

Можно еще вопрос: Подключение к провайдеру через PPTP, адрес сервера vpn-gw1.mns.ru, этому адресу соответствует с десяток IP.
Может ли DFL понимать адрес сервера vpn-gw1.mns.ru при создании PPTP подключения?

В поле адреса PPTP сервера укажите dns:vpn-gw1.mns.ru

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, спасибо.

А используя dns: можно и другие поля так заполнять, например для маршрутизации на хост с DDNS?

Нет, для маршуртизации не получится. FQDN можно использовать только в настройках Remote endpoint для IPSec туннелей и VPN-клиентов.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Dima G., еще вопрос
А по производительности NAT DFL-210 сильно отличается от DI-824VUP+?

У 824VUP+ программно зарезана скорость (это даже по SNMP видно) до 30МБит. И это речь про обычный NAT-трафик, без всяких VPN.
DFL-210 выдает под 80 МБит. Причем в режиме VPN-клиента.

824VUP+ сдохнет при 100-150 соединениях в течение 10-20 минут, а в случае Wi-Fi и при 50 коннектах. Выглядит как полное пропадание трафика на 10-20 секунд, потом снова начинается активность. DFL не испугаешь и 400 соединениями торрента на полную катушку его возможностей (80МБит). Правда, процессор и буферы будут загружны на 100%, но он будет справляться и с этой скоростью, и со всеми функциями, настроенными на нем. Я гнал через ФТП сотни гигабайт непрерывно по корбиновской локалке, никаких зависаний, даже IPTV по мультикасту смотрел параллельно.
Вот и делайте выводы

p.s.Все вышесказанное - личный опыт.
p.p.s Я ни разу не видел за пару лет, чтобы мой DFL завис. Аптайм по много месяцев - от прошивки к прошивке.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

И еще вопрос, какое ограничение на число адресов в адресной книге, и сколько пользователей в локальной базе данных может быть?

Что DFL-210 может делать с MAC адресами?
Возможна ли фильтрация пользоватлей локалки по MAC адресам?
Можно ли автоматически авторизовывать пользователей по MAC адресам для доступа в инет? (вопрос безопасности не критичен)
Как можно сделать авторизацию автоматической для устройств типа принт-серверов и IP-камер?
Если ли возможность смотреть количество IP адресов из локалки работающих через DFL, а не только общую сумму соединений?

Я даже не знаю. Пока память не закончится, наверное. По правилам ограничение прописано, а вот на все остальное... Хотите, по юзерам или адресам в адресбуке нагенерю скриптом? Сколько надо для проверки - сотня, две, три? Я МАКи недавно генерил, кажется, штук 500 для теста. Память уменьшилась лишь на мегабайт. А там свободно было 78.

Практически ничего. Все-таки DFL - это L3. Ну можно ARP с IP связать, опубликовать и ответить вместо другого устройства. На этом все.

Нет. Напрямую нет. Косвенно - написано ниже.

Нет.

Можно сделать связку МАК=IP и разрешать доступ только определенным IP. Соответственно другой IP доступа не получит. А IP, у которого иной МАК (не как в связке), не обработает пакет на канальном уровне.

Нет.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо за столь оперативные ответы.

Жаль, что фильтрация по MAC, присутствующая без лишних наворотов в NAT роутерах здесь отсутствует.

Извиняюсь за вопрос по очевидным вещам, а где именно используются юзеры? Можно ли часть пользователей из локалки пускать с авторизацией, а часть с определенными IP независимо от авторизации. Могут ли при этом избранные сервисы, допустим HTTP и DNS не зависеть от авторизации.

В каком разделе правила используют юзеров и их группы для доступа из LAN в WAN без PPTP и т.п.

И еще, если мне нужны маршруты на другой шлюз в локальной сети для всех пользователей, то их надо создавать в таблице main?

Скриншот маршруты: http://www.download.su/photoalbum/view_photo/01a2b71885

Они сейчас выключены, т.к. всеравно не работают.
Локальная сеть 192.168.0.0/24
IP DFL 192.168.0.10 на компе он выбран в качестве шлюза
И есть в сети еще 2 роутера, которые выпускают в другие сети, которые не должны быть доступны через WAN порт DFL. IP адреса соответственно 192.168.0.254 и 192.168.0.7, а за ними сеть 192.168.1.0/24 называющаяся в правилах TrafficLocal1Net и за вторым шлюзом 4 сети вида 80.70.228.0/24 и т.п.
Ситуация такова, что пока на компе не поставишь шлюз 192.168.0.254 в сеть 192.168.1.0/24 не выйти. А вот с 4 другими сетями, имеющими внешние IP доступ через DFL есть, а должен быть через 192.168.0.7 (именующийся GatewayMatrix7). Если отключенные маршруты включаю, то доступ пропадает совсем.

Просто подразумевается, что устройство используется именно как шлюз 3-его уровня, а пользователи непосредственно подключены к свитчам 2-го уровня, где все это успешно разруливается. Я бы не сказал, что DFL позиционируется для домашних юзеров, потому и нету фильтрации по МАКу.


БД юзеров используется в управлении устройством, в аутентификации при поключении по VPN (PPTP/L2TP/XAuth IPSec) удаленных юзеров к встроенному серверу, в аутентификации для доступа к подсетям.

Да.

Да.

В адресной книге. У каждого созданного там объекта есть вкладка User Authentication. Впоследствии этот объект можно использовать в правилах. При этом при поиске по списку правил DFL будет также смотреть принадлежность конретного IP к конкретной группе, прописанной в этом поле. IP является членом конкретной группы только если прошел перед этим авторизацию в соответствии с заданными требованиями.

Да, т.к. это проще в большинстве случаев. Второй вариант - использование PBR и альтернативной таблицы маршрутизации.


По ссылке переход на главную страницу домена, скриншота нет.


Хоть и скриншота пока не вижу, но ситуацию на словах понял. Ничего сложного и невыполнимого для DFL нету. Все реализуемо. Перегрузите скриншот, посмотрю.

Добавлено: кстати, по поводу последнего пункта. Если в сети клиенты WinXP и старше и адреса выдаются по DHCP отдельным сервером, то можно не загружать DFL транзитным трафиком от клиентов до других шлюзов, а выдавать клиентам винды статические маршруты через DHCP и опцию 249. К сожалению, DHCP на DFL поддерживает только опцию 33, которая позволяет выдать только маршрут до отдельного IP, но не подсети.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Фильтрация по МАС в DFL просто не показана явно, но она есть.

Заводятся Static ARP записи соответствия МАС и IP адресов клиентов. Переключается настройка в параметрах IP на дропание несоответствующих пакетов и вы получаете уверенность, что все адреса, МАС которых у вас забиты, с ними и будут ходить. А дальше lannet в правилах просто заменяется на группу из адресов, которым разрешен доступ в интернет (с прописанными МАС).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc