Здравствуйте.
Столкнулся со следующим затруднением.
в наличии есть DFL-210, на который приходит инет от провайдера по статическому IP.
СБ потребовала пробросить VPN сквозь провайдера и весь инет траффик пустить через него.
поставшика VPN нашел. www.ipredator.se
на DFL настроил PPTP клиент, соединение поднялось.
НО! траффик продолжает идти через провайдера.
Вопрос: что еще необходимо прописать в настройках для выполнения требования СБ?, т.е. пустить ВЕСЬ инет траффик через VPN)


P.S. новенький в dfl , а посему громадная просьба дать конкретные указания

1) Добавьте в Routing > Routing tables > main статический маршрут до сети VPN-сервера и DNS-серверов (если у вас подключение по доменному мени) через wan

2) Снимите галку add default route в настройках интерфейса wan

А вообще - конкретно этот "VPN" провайдер секьюрности даст вам не много, ибо использует только РРТР (который уязвим по определению). Ищите нормального провайдера, предоставляющего IPsec или например выставьте другой DFL в место, где доверие к трафику есть и пустите через него.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

п 2 понятен. выполнил.
по п 1:
создал маршрут
4 Маршрут VPN1 all-nets wan_gw 100 No

.. а к DNS как прописать?

1) Надо не all-nets, а на конкретный РРТР сервер
Покажите настройку РРТР клиента
Маршруты на DNS сервера делаются соответственно на wan_dns1 и wan_dns2

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

настройки PPTP клиента
Имя: VPN1
Туннельный протокол: PPTP
Удаленная конечная точка: dns:vpn.ipredator.se

галка во вкладке Расширенные на автоматическое создание маршрута снята
Стаистика но интерфейсу VPN1
IP-адрес: 93.182.185.XX
Статус Канала: Tunnel established to 93.182.185.2, Session established
MAC-адрес: 00-00-00-00-00-00



добавлены маршруты:
6 Маршрут VPN1 wan_dns1 wan_gw 100 No
7 Маршрут VPN1 wan_dns2 wan_gw 100 No
..Верно?

Маршруты надо на физический wan
И туда же еще на сеть 93.182.128.0/18 - VPN сервера

Но вообще - как говорю, секьюрности ноль

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

ноль. но сначала надо выполнить поставленную задачу, а потом сажать в лужу СБ, ибо конкретный провайдер VPN их инициатива))

Итого имеем:
1 Маршрут wan wannet 100 No Direct route for network wannet over interface wan.
2 Маршрут dmz dmznet 100 No Direct route for network dmznet over interface dmz.
3 Маршрут lan lannet 100 No Direct route for network lannet over interface lan.
4 Маршрут wan VPN1_network wan_gw 100 No
5 Маршрут wan wan_dns1 wan_gw 100 No
6 Маршрут wan wan_dns2 wan_gw 100 No

Правила:
DNS
1 Sat SAT lan lannet core lan_ip dns-all
2 Nat NAT lan lannet core lan_ip dns-all

lan2wan

1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan all-nets ftp-passthrough
4 allow_standard NAT lan lannet wan all-nets all_tcpudp


где

lan_ip 192.168.0.3 IPAddress of interface lan
lannet 192.168.0.0/24 The network on interface lan
VPN1_dns1 0.0.0.0 Primary DNS server received from L2TP/PPTP client VPN1.
VPN1_dns2 0.0.0.0 Secondary DNS server received from L2TP/PPTP client VPN1.
VPN1_gw 93.182.188.2
VPN1_ip 0.0.0.0 IP address received from L2TP/PPTP client VPN1.
VPN1_network 93.182.128.0/18
wan_dns1 8.8.8.8 Primary DNS server for interface wan.
wan_dns2 192.168.1.1 Secondary DNS server for interface wan.
wan_gw 192.168.1.1 Default gateway for interface wan.
wan_ip 192.168.1.5 IPAddress of interface wan
wannet 192.168.1.0/24 The network on interface wan

резюме: не работает (

совсем не понял откуда выплыл VPN1_network 93.182.128.0/18 когда
IP-адрес: 93.182.185.34
Статус Канала: Tunnel established to 93.182.185.2,

_________________
Новенький. Ногами не бить. Шапками не закидывать. непонятными словами не ругать.

1) Добавьте маршрут
VPN1 all-nets 101

2) Переделайте во всех правилах lan_to_wan destination interface с wan на VPN1

3) VPN1_gw в принципе вам не нужен и нигде использоваться не должен

4) 93.182.128.0/18 это подсеть вашего VPN-провайдера. Взялась отсюда - http://network-tools.com/default.asp?pr ... redator.se

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

спасибо огромное, забегало.

_________________
Новенький. Ногами не бить. Шапками не закидывать. непонятными словами не ругать.

Дабы не постить новую тему, пишу здесь..
проблема аналогичная в принципе..
поднял между cisco 1811 и DFL-210 IPSec VPN.
как зароутить весь трафик из сети за DFL-210 в туннель
Сейчас настроено :
IP rules
1 drop_smb-all Drop lan lannet hq IPSec_remote_net smb-all
2 allow_ping-outbound NAT lan lannet hq IPSec_remote_net ping-outbound
3 allow_ftp-passthrough_av NAT lan lannet hq IPSec_remote_net ftp-passthrough-av
4 allow_standard Allow lan lannet hq IPSec_remote_net all_tcpudp
IPSec rules
1 IPSec_to_lan Allow hq IPSec_remote_net lan lannet all_services
2 lan_to_IPSec Allow lan lannet hq IPSec_remote_net all_services

Routing
1 Route hq IPSec_remote_net 90 No Direct route for network IPSec_remote_net over interface hq.
2 Route wan wannet 100 No Direct route for network wannet over interface wan.
3 Route wan all-nets wan_gw 100 No Default route over interface wan.
4 Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
5 Route lan lannet 100 No Direct route for network lannet over interface lan

Если вы хотите завернуть весь трафик в IPsec, то как минимум укажите в IPSec_remote_net = 0.0.0.0/0

При этом, правила lan_to_wan уже будут бесполезны, если вы только не заходите выпускать в случае недоступности IPsec в интернет через "свой" канал. Но в этом случае на IPsec-маршрут надо добавить мониторинг.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

сорри, не совсем понял...
в Объекты - адресная книга - interface address меняю IPSec_remote_net 172.16.3.0/24 на 0.0.0.0/0 ?

Да. На циске для IPsec туннеля должно быть указано local network = 0.0.0.0/0 и сделаны соответствующие NAT правила

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

а это единственный способ траф зароутить? или можно маршрутами на Длинке ?

Маршруты у вас автоматом создаются, об этом можете даже не думать. Но принципы IPsec требуют указания сетей, которые будут ходить через туннель заранее.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc