1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 15, 2025 02:45

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 15 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
paha11
 Заголовок сообщения: DFL-210 + at AR-770
СообщениеДобавлено: Чт окт 08, 2009 11:22 
Не в сети

Зарегистрирован: Чт мар 10, 2005 11:53
Сообщений: 14
добрый день. соложилась проблема. имеем 5 DFL=210 1 ar-770 5 удалёных офисов. хотим обьеденить офисы в одну сеть посредством VPN. на ar-770 поднять vpn концентратор (собсно уже сделал опыта много) а вот на DFL=210 никак не получаетсья собрать клиента.

также почему не сдлелать отключения модуля который тебе не нужен. например ну мне нафиг не нужен Фаервол. я так думаю что если в нём ничего не забито он всеравно кушает проц. а это я думаю нехорошо.

вобщем у меян связка pptp + ipsec
с винды подключаетсья всё на ура.

помогите решить проблему уже 3 суток читаю форум и ФАК но нормального решения проблемы так и не нашол.

конфиг от 770
Код:
set system name="IPSec Gateway"
set user  securedelay=600
set user=manager pass=*** priv=manager lo=yes
set user=manager telnet=yes desc="Manager Account"
add user=paha pass=*** priv=securityOfficer lo=yes
set user=paha telnet=yes netmask=255.255.255.255
add user=rkc1 pass=*** lo=no
set user=rkc1 telnet=no ipaddr=10.10.1.2 netmask=255.255.255.252
add user=rkc2 pass=*** lo=no
set user=rkc2 telnet=no ipaddr=10.10.1.6 netmask=255.255.255.252
add user=secoff pass=*** priv=securityOfficer lo=yes
set user=secoff telnet=yes netmask=255.255.255.255
enable user rso
add user rso ip=10.10.0.0 mask=255.255.255.0
create ppp template=1
set ppp template=1 bap=off ippool="ip" authentication=chap mssheader=120 echo=10
enable l2tp
enable l2tp server=both
add l2tp ip=10.10.0.0-10.255.255.254 ppptemplate=1
enable ip
add ip int=eth0-1 ip=10.10.0.1 mask=255.255.255.0
set ip int=eth0-1 mul=off
add ip int=eth1-0 ip=192.168.158.20
create ip pool="ip" ip=10.10.1.1-10.10.1.254
create ipsec sas=1 key=isakmp prot=esp enc=null hasha=md5
set ipsec sas=1 mod=transport
create ipsec sas=2 key=isakmp prot=esp enc=null hasha=sha
set ipsec sas=2 mod=transport
create ipsec bund=1 key=isakmp string="1 or 2"
create ipsec pol="isa" int=eth0-1 ac=permit
set ipsec pol="isa" lp=500 rp=500
create ipsec pol="vpn" int=eth0-1 ac=ipsec key=isakmp bund=1 peer=ANY isa="key"
set ipsec pol="vpn" rp=1701 tra=UDP
create ipsec pol="ppp" int=eth0-1 ac=ipsec key=isakmp bund=1 peer=ANY isa="key"
set ipsec pol="ppp" rp=1723 tra=TCP
create ipsec pol="int" int=eth0-1 ac=permit
enable ipsec
create isakmp pol="key" pe=any key=1
enable isakmp

_________________
Удйду туда где нет труда и каждый день зарплата
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 11:40 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Для начала, у вас L2TP over IPsec, в DFL надо выбрать этот тип клиента.

Ну и соответственно - давайте что и как настроено и логи.

PS Я бы вместо центрального AR взял DFL-800 или 1600 если денег не жалко. Сделать нормальный IPsec и не городить огород.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
paha11
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 12:38 
Не в сети

Зарегистрирован: Чт мар 10, 2005 11:53
Сообщений: 14
WAN - 10.10.0.3
Authentication Objects
создал новый обьект Pre-shared key - ar
разуметься забил нужный Shared Secret
в ip rules добавил 2 парвила
PINGG - Allow/any/all-nets/any/all-nets/ all_icmp
vpn- Allow/any/all-nets/any/all-nets/all_services
PPTP/L2TP Clients
test- L2TP/10.10.0.1/rkc1/Yes

топаю в конекты и невижу даже попыток подключения

_________________
Удйду туда где нет труда и каждый день зарплата
Вернуться наверх
 Профиль  
 
paha11
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 12:48 
Не в сети

Зарегистрирован: Чт мар 10, 2005 11:53
Сообщений: 14
заявлено уж больно красиво. невериться чтото. если деньги бы были, взял бы кошек и не парился.

_________________
Удйду туда где нет труда и каждый день зарплата
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 13:12 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Что красиво? Где красиво? DFL? Они прекрасно работают, IPsec между ними строят десятки людей тут и проблем не имеют. У самого лично построенная сеть "звезда" второй год сама по себе крутится.

По поводу приведенных настроек - можно во-первых схему работы с адресами, во-вторых я у вас на стороне DFL не вижу упоминаний о IPsec.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
paha11
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 13:17 
Не в сети

Зарегистрирован: Чт мар 10, 2005 11:53
Сообщений: 14
заявлено 350 и 120 на впн скорости. неверю !!!!

testt - /all-nets/all-nets/10.10.0.1/RSK

разумееться в Authentication. Pre-shared Key выбран ar

_________________
Удйду туда где нет труда и каждый день зарплата
Вернуться наверх
 Профиль  
 
paha11
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 13:24 
Не в сети

Зарегистрирован: Чт мар 10, 2005 11:53
Сообщений: 14
в машатбах города раскинут VALN внутри куртиться сетка 10.10.0.0/24 в неё воткнуты DFL - 210 wan портами. аресация 10.10.0.2-7. на 10.10.0.1 крутиться VPN куда и должны подключаться все DFL. далее в LAN DFL будем втыкать юзеров за AR сервак MS с TS. пока нужно подружить dfl и ar. протестить скорость. а потом уже заморачиваться дальше

_________________
Удйду туда где нет труда и каждый день зарплата
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 15:00 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Ну по поводу скорости я вам могу сказать, что я из домашнего DFL-210 прямой закачкой с близких к магистралям сайтов и торрентом добивался 6-7 мб/сек, что достаточно близко к заявленным 80 мбит. Поэтому я склонен верить характеристикам более старших устройств.

Ваши же параметры - надо осмыслять...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
paha11
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 12, 2009 08:29 
Не в сети

Зарегистрирован: Чт мар 10, 2005 11:53
Сообщений: 14
ну это всё отступление. какже мне всёже решить мою проблему ? всё ли привёл или ещё что надо ?

а по подробней про то чт оу вас живёт можно узнать ?

_________________
Удйду туда где нет труда и каждый день зарплата
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 12, 2009 08:42 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Приведите настройки DFL скринами, ваш текст сложен для осмысления и не полный. Ну и приводите логи по не подключению.

По поводу "живет" - через 210й 2 интернет канала (статика 20 мбит и РРРоЕ 4 мбит), активный торрент, 3-5 домашних клиентов.

Есть VPN сеть, в центре DFL-800, в выносах 210. Там ограничение скорости в 2 мбит (SHDSL), но работают очень стабильно.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
paha11
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 12, 2009 08:50 
Не в сети

Зарегистрирован: Чт мар 10, 2005 11:53
Сообщений: 14
отправил запрос на тест 5 dfl-210 и 1 dfl-1600. посмотрим что ответят.
у вас VPN + IPsec. для шифрования отдельно лицензии докупать не надо ?

_________________
Удйду туда где нет труда и каждый день зарплата
Вернуться наверх
 Профиль  
 
paha11
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 12, 2009 10:03 
Не в сети

Зарегистрирован: Чт мар 10, 2005 11:53
Сообщений: 14
мнение по поводу свзяки DFL-2500 и DI-808HV ? гибкость настройки надёжность ?

_________________
Удйду туда где нет труда и каждый день зарплата
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 12, 2009 11:05 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
IPsec это и есть VPN (никаких плюсов). Никаких лицензий не надо.

Вместо DI берите те же 210е - будет все замечательно и очень гибко.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 12, 2009 21:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Минус вашей схемы это overheading.

Под вашу конфигурацию DFL примерно настраивается так (примерно потому, что вы привели не все данные.

1.Добавляете PSK
2. Добавляете объекты ip4address с удаленным аднесом вашей центральной железки.
3.Добавляете Интерфейс IPSec со следеющими настройкам:
Инкапсуляция Transport.
Remote network удаленный адрес железки.
Remote endpoint ужаленный адрес железки.
Ike/ipsec life time аналогичны как на удаленной железки
Local network: wan_ip
укажите PSK ключ и/или xauth если используете.

4.Добавляете l2tp клиент, remote network удаленная подсеть или группа удаленных подсетей либо all-nets (для маршрута по умолчанию через L2TP)

5.Добавляете правила IPRules для интерфейса L2TP (и маршрут до удаленной железки в случае указания all-nets в L2TP Интерфейсе)

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
paha11
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 20, 2009 11:23 
Не в сети

Зарегистрирован: Чт мар 10, 2005 11:53
Сообщений: 14
вобщем опыты закончились ничем. так как забрали 770 :) щас пробую сдружить 2 DFL-210 по ipsec
viewtopic.php?p=570830#570830

_________________
Удйду туда где нет труда и каждый день зарплата
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 15 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 332

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB