Во всех примерах
http://www.dlink.ru/technical/faq_firewall_21.php
http://support.dlink.com/SupportFAQ/def ... =DFL%2D700
http://www.dlink.ru/technical/faq_vpn_6.php
рассматривается поднятие туннеля между сетями класса С.

Как настроить VPN-туннель между сетью класса В(за DFL-700) и класса С(DI-804HV)?

Головной офис:
DFL-700
WAN IP: 1.1.1.1/4
LAN IP: 192.168.0.1/16
ПК, подключенный к DFL-700
IP - адрес: 192.168.0.10/16
Шлюз по умолчанию: 192.168.0.1
В головном офисе используются только адреса только из 2х первых цифр третьего октета - 192.168.0.х и 192.168.1.х

Филиал
DI-804HV
WAN IP: 1.1.1.2/4
LAN IP: 192.168.3.1/24
ПК, подключенный к DI-804HV
IP - адрес: 192.168.3.187/24
Шлюз по умолчанию: 192.168.3.1

Версия ПО: для DFL-700 - 2.20, для DI-804HV - 1.40


Будет ли работать VPN, если в настроках устройств указать следующее:

DFL-700 Configuration:
*******************
Firewall-VPN
Add New.

• Name - NEWTUNNEL
• Local Net - 192.168.0.0/16
• Select PSK using the radio buttons
• PSK - 1234567
• Select LAN-to-LAN tunnel using the radio buttons
• Remote Net - 192.168.3.0/24
• Remote Gateway - 1.1.1.2

Apply to save the settings. -
Edit NEWTUNNEL profile. -
Advanced.

IKE Mode: Main Mode IKE
IKE DH Group: 2 - modp 1024-bit using the drop-down list.
Leave PFS: Enable Perfect Forward Secrecy unchecked.
NAT Transversal: Disabled.

Apply to save the settings. -
Activate on the bottom left hand corner of the screen.
Activate Changes.


DI-804HV Configuration
********************
Home - VPN

VPN Settings:
Enable
Max. number of tunnels: 40
ID 1
Tunnel Name: NEWTUNNEL

Apply, Continue.

ID 1:
Method: IKE

More

• Local Subnet - 192.168.3.0
• Local Netmask - 255.255.255.0
• Remote Subnet - 192.168.0.0
• Remote Gateway - 1.1.1.1
• Preshare Key - 1234567

Apply, Continue.

IKE Proposal:

ID 1:

• Proposal Name - 3des-md5
• DH Group - Group 2
• Encrypt algorithm - 3DES
• Auth algorithm - MD5
• Life Time - 28800
• Life Time Unit - Sec.

Proposal ID, 1, Add to.
Apply, Continue.
Back.
Select IPsec Proposal:
ID 1:

• Proposal Name - 3des-md5
• DH Group - None
• Encap protocol - ESP
• Encrypt algorithm - 3DES
• Auth algorithm - MD5
• Life Time - 3600
• Life Time Unit - Sec.

Proposal ID, Add to.
Apply, Continue.


Будет ли работать такая схема?? И как указать, что со стороны DFL-700 должны выходить по VPN 2 подсети?

Схема не совсем правильная, у Вас сеть филиала пересекается с сетью головного офиса, устройство может и не разобраться куда отправлять пакеты. Лучше создайте два туннеля между устройствами для сетей класса C.

T.е., само устройство можно назначить настройки сети класса В:

DFL-700
WAN IP: 1.1.1.1/4
LAN IP: 192.168.0.1/16
ПК, подключенный к DFL-700
IP - адрес: 192.168.0.10/16
Шлюз по умолчанию: 192.168.0.1

DI-804HV
WAN IP: 1.1.1.2/4
LAN IP: 192.168.3.1/24
ПК, подключенный к DI-804HV
IP - адрес: 192.168.3.187/24
Шлюз по умолчанию: 192.168.3.1


а туннели создавать для сетей класса С?

DFL-700 :
• Name - TUNNEL_0
• Local Net - 192.168.0.0/24
• Select PSK using the radio buttons
• PSK - 1234567
• Select LAN-to-LAN tunnel using the radio buttons
• Remote Net - 192.168.3.0/24
• Remote Gateway - 1.1.1.2

и

• Name - TUNNEL_1
• Local Net - 192.168.0.1/24
• Select PSK using the radio buttons
• PSK - 1234567
• Select LAN-to-LAN tunnel using the radio buttons
• Remote Net - 192.168.3.0/24
• Remote Gateway - 1.1.1.2


DI-804HV :

Tunnel Name: TUNNEL_0

ID 1:
Method: IKE

More
• Local Subnet - 192.168.3.0
• Local Netmask - 255.255.255.0
• Remote Subnet - 192.168.0.0
• Remote Gateway - 1.1.1.1
• Preshare Key - 1234567

и

Tunnel Name: TUNNEL_1

ID 1:
Method: IKE

More
• Local Subnet - 192.168.3.0
• Local Netmask - 255.255.255.0
• Remote Subnet - 192.168.0.1
• Remote Gateway - 1.1.1.1
• Preshare Key - 1234567

Будет ли работать такая схема??

нет. с точки зрения IP для устройства с адресом 192.168.х.у с маской класса B ВСЕ адреса 192.168.w.z являются доступными НАПРЯМУЮ. То есть без маршрутизации. Посему надо либо сабнеттировать сетку, либо перенумеровывать удаленные.

_________________
С уважением -- Александр Шебаронин.

Если перенумеровать удаленную сеть, будет ли работать следующая схема:

DFL-700
WAN IP: 1.1.1.1/4
LAN IP: 192.168.0.1/16
ПК, подключенный к DFL-700
IP - адрес: 192.168.0.10/16
Шлюз по умолчанию: 192.168.0.1

DI-804HV
WAN IP: 1.1.1.2/4
LAN IP: 192.169.3.1/24
ПК, подключенный к DI-804HV
IP - адрес: 192.169.3.187/24
Шлюз по умолчанию: 192.169.3.1

ТУННЕЛИ:
DFL-700 :
TUNNEL_0
• Local Net - 192.168.0.0/24
• PSK - 1234567
• Remote Net - 192.169.3.0/24
• Remote Gateway - 1.1.1.2

TUNNEL_1
• Local Net - 192.168.0.1/24
• PSK - 1234567
• Remote Net - 192.169.3.0/24
• Remote Gateway - 1.1.1.2


DI-804HV :
TUNNEL_0
ID 1: Method: IKE
• Local Subnet - 192.169.3.0
• Local Netmask - 255.255.255.0
• Remote Subnet - 192.168.0.0
• Remote Gateway - 1.1.1.1
• Preshare Key - 1234567

TUNNEL_1
ID 1: Method: IKE
• Local Subnet - 192.169.3.0
• Local Netmask - 255.255.255.0
• Remote Subnet - 192.168.0.1
• Remote Gateway - 1.1.1.1
• Preshare Key - 1234567

Будет ли такая схема работать??

нет, не будет. Потому как сеть 192.168.0.0/16 ВКЛЮЧАЕТ в себя ВСЕ сети, начинающиеся с 192.168, в том числе и ендпоинты туннелей.

_________________
С уважением -- Александр Шебаронин.

Почему не будет???
В приведенном выше примере
Сеть ЦО 192,168,0,0/16
а сеть филиала 192,16_9_,0,0/24..
Или даже так не будет работать?

прошу прощения -- не заметил. Да, так работать будет, но лучше для удаленных сетей воспользоваться приватными блоками, например 10.0.0.0 или 172.16.0.0.

_________________
С уважением -- Александр Шебаронин.

А позволит DFL-700 задать маску 255.255.254.0?
Если да, то
Сеть ЦО 192.168.0.0/23
не будет пересекаться с
сетью филиала 192.168.3.0/24
Нумерация сетей остается прежней(как в первом примере), меняется только маска подсети ЦО.

хочется сказать пару слов по поводу жевучести тунеля на данной конструкции: живет но переодически без какой либо закономерности тунель падает на 1-5 минут потом поднимается , провайдер клянется что ничего не делал в тот момент. Уж вторую 804 поменял все одно толку нет (прошивки тоже последнии)

"..периодически.." а это как?? приблизительно? 1 раз в месяц? В неделю?

А у вас кроме VPN что еще через него ходит?

Да, так работать будет. И маску поставить можно.

_________________
С уважением -- Александр Шебаронин.

периодически это 1-2 раза в неделю может меньше, у меня там сидит удаленная бухгалтерия, соответственно терминал сервер, почта,