Добрый день,

у нас в головном офисе стоит DFL-210. В филиалах установлены DI-804HV. Между головным офисом и филиалами организованы VPN туннели. Туннели работают хорошо. Все довольны.

Вчера в один из филиалов поставили видеорегистратор. Он втыкается в сеть и позволяет подключаться к себе на 9000-ый порт с помощью своей софтины. Внутри сетки филиала все отлично работает. Если выкинуть наружу 9000-ый порт ("Virtual Server", если говорить в терминах DI-804HV), то при подключениях извне тоже все нормально работает.

НО, при попытке подключиться из головного офиса через vpn софтина не работает. Причем по поведению видно, что аутентификацию проходит, но непосредственно но передачи видео-потока дело не доходит.

Я пока еще не разбирал весь процесс, но подозреваю, что не пролезают пакеты из-за невыского MTU. В этом случае я вряд ли что-то смогу сделать, так как само устройство не умеет работать с меньшими MTU (нет возможности настроить), а я не могу увеличить размер до максимального, т.к. VPN.

И все бы ничего - можно было бы пользоваться внешним подключением (обращаясь на WAN интерфейс филиала), но у DFL-210 какая-то странная маршрутизация. При включенном vpn с филиалом он не дает обращаться на его внешний интерфейс.
Так и должно быть? Или это я накосячил с настройками?
Можно ли настроить маршрутизацию так, чтобы работал и vpn и были доступны обращения на внешний интерфейс?

Спасибо.

Покажите содержание Status-Routes в момент установленного подозрительного VPN соединения.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Точно косяк с настройками. У меня 2 туннеля между DFL-210 и DI-824. Причем туннель L2TP (для быстрой скорости по ФТП), туннель IPSec (для секьюрности Самбы). А для управления по RDP вообще соединяюсь мимо туннелей напрямую на WAN адрес 824-го. И все это работает между двумя железками одновременно и прозрачно для приложений.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

*wan_ip_1* - адрес с которого подключился vpn-client
*wan_net_prov* - адрес внешней подсети, к которой подключен DFL-210
*wan_gateway* - адрес шлюза провайдера на внешнем интерфейсе DFL-210



Криво отображается, но думаю, что доступно. Если хотите, то могу попробовать отформатировать, но здесь это не очень удобно.

Какой тип VPN с тем офисом, где стоит регистратор?
Если видеопоток идет по какому протоколу? HTTP или это видеорегистратор сам начинает слать media-данные на какой-то IP:порт, с которого запрос пришел? Если умеет со сниффером обращаться, то это будет самое простое и быстрое решение.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Кстати, забыл написать: проблема решилась прошивкой на последнюю версию (2.26.00.06-12653).

По "решением" я понимаю возможность обращаться из головного офиса на внешние интерфейсы филиалов.

Сквозь впн поток так и не идет.

Я имел в виду решение проблемы с помощью сниффера.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)