Здравствуйте.
Бился-бился не смог осилить D-Link DFL-210.


Дано:

1 сеть:
192.168.0.1-192.168.0.225/24

ADSL модем(Zyxel-P660) в режиме router`а воткнутый напрямую в свитч и раздающий всем инет c белым статическим IP. (допустим – 79.119.56.12).

DHCP нет. У Всех клиентов, которым необходим доступ в интернет параметры модема(шлюз/DNS) прописаны в ручную.

2 сеть:
Пока планируется.
Поэтому внутренние адреса можно задать любые.
То же будет стоит ADSL модем, то же с белым IP и то же напрямую подключенный в свитч.

Оборудование: D-link DFL-210

Надо:
Объединить обе сети в одну.


Как это вижу я:
Надо при помощи DFL-210 поднять PPTP сервер в любой из сетей. А в другой сети настроить клиентов(Windows XP) на этот сервер.

Разделил задачу на части:
1) Подключаем ADSL модем к WAN`у dfl-210, а его самого подключаем в свитч.
2) Настраиваем выход в инет из LAN
3) Настраиваем PPPtp сервер на dfl-210
4) Ставим защиту: Подключаться к VPN можно только с белого ip другой сети раз, выходит в инет могут только разрешенные по mac+ip адресу клиенты.

Тут же возникли вопросы: В каком режиме (роутер/мост) лучше настроить ADSL модем?
Отключить DHCP сервер и задать нужный внутренний (LAN) ip на dfl-210 у меня получилось. А вот все остальное нет. Основной вопрос – как настроить его на выдачу инета из LAN?

Перечитал все что нашел и на оф.сайте и “на гугле” ни черта не получается.

Может кто распишет, так сказать “для чайников”.

Готов заплатить – как вариант деньги на телефон, либо Webmoney или Yandex деньги.

Не очень понятно, у вас сети территориально едины или надо объединение через интернет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Через интернет.
С обоих сторон один и тот же провайдер.

Постепенно продвигаюсь:
ADSL Модем настроил мостом.
PPPoE поднял через визард фаерволла.
Прописал ручками в ip в качестве шлюза фаерволл, в качестве DNS - DNS провайдера.

Все правильно сделал?
Сейчас буду биться над поднятием PPPtp сервака, перенаправления портов и защитой - слава богу документация на сайте по этим ситуациям есть.

Да, в целом все так.
В документации все немного запутано с ip-объектами - исходите из того, что адрес ip определенного интерфейса называется <интерфейс>_ip, т.е. для случая визарда - wan_ip.
В вашем случае еще бы VPN роутер во второй офис и тогда вообще без клиентских VPN подключений можно обойтись.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

PPtP сервер поднял. Коннект есть.
С другого конца есть ADSL роутер с поддежкой PPtP pass through - сегодня - завтра буду настраивать.
Остался один вопрос:
Как сделать привязку к IP и/или MAC на подключение клиента по PPtP, так и внутри сети.
т.е. мне надо что бы подключится к VPN могли только с определенного IP и MAC адреса, остальным отлуп.
То же самое в LAN. Можно ли сделать что бы только разрешенным по ip и/или MAC был разрешен доступ в инет(lan2wan)?

В удаленной сети вы не можете средствами DFL лимитировать что-то по МАС адресам, ибо у вас нет доступа до L2 там. Только если ваш девайс позволяет такое делать.

В LAN - статические привязки IP-MAC делаются в Interfaces > ARP (добавить Static ARP).
Ограничить выход в интернет только для разрешенных клиентов можно, сделав привязки (выше), объединив IP-объекты клиентов в группу и использовать ее в NAT правилах вместо lannet.
Для РРТР сервера в локалке аналогичная группа, только используйте ее в user auth rule.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

а необходимо именно pptp подключения пользователей?
просто для объединения 2-х подсетей проще использовать ipsec канал, тогда пользователям ничего делать не придется, но для этого нужно и во второй сети устройство с поддержкой впн, прием если интернет не нужно выдавать через первую сеть (или же есть возможность организовать прокси-сервер) то можно обойтись дешевыми dir-130/330, а если нужно хитроумно выдавать интернет то тут только dfl, danilovav поправьте если я не так сказал про dfl.

upd: внимательнее перечитал тему, danilovav уже предлагал это решение..

Я уже писал выше такой вариант, он конечно лучше.
DIR - если не нужна высокая скорость и расширенная конфигурация, верно. Но лучше DFL...
Для общего "сетевого окружения" надо будет поднять WINS (если нет AD).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ок. Спасибо за советы.
Тогда последний вопрос:
Есть DSL-2500U
(http://www.dlink.ru/ru/products/1/745.html)
В нем есть функция автоподключения Multiple IPSec/PPTP/L2TP pass-through.
Возник такой вопрос: Я втыкаю 2500 в свитч, поднимаю на нем pptp соединение.
В локальной сети, подключенной к этому свитчу еще 3 компа.
Возникает вопрос: компа то три, и pptp на модеме поднят один.
Мне же надо что бы у каждого компа был свой ip в VPN канале.
тут же получается что у всех них будет один ip? соединение pptp то одно...
я прав?

Pass thru значит что ваш DSL пропускает VPN через свой NAT.

То, что вы на модеме настраиваете РРТР до DFL, дает вам весь трафик через DFL, причем он еще и делает на него NAT, то есть со стороны сети DFL не будет доступа.

Как результат вам же надо чтобы сети были объеденены? Зачем вам каждому компьютеру свой адрес?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Разные ip нужны что-бы машины были в одном локальном чате (без разных ip идентифицировать их нереально).

Цель объединения сетей:
Что бы в филиале могли использовать: локальный mysql, mssql, FTP, Чат сервера расположенные в головной организации.

При классическом объединении сетей у вас все компьютеры будут видеться своими адресами - никакого NAT
Но этого ваш DSL, похоже, не умеет
Кстати, некоторые модели умеют IPsec - у вас нет там? Это был бы лучший вариант

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc