Знающие люди, помогите страдальцу =)

Дано:

Сторона А:
DFL-210, сетевой шнурок в котором два VLAN - в одном интернет с реальным IP, во втором "серая" подсеть с выходом на сторону Б.

VLAN 948 (интернет):
IP: 95.167.185.55
NET: 255.255.255.252
GW: 95.167.185.54

VLAN 960 (LAN):
IP: 192.168.81.2
NET: 255.255.255.252
GW: 192.168.81.1


Сторона Б:
DFL-210, сетевой шнурок в котором "серая подсеть" без VLAN'ов и прочего. Просто статические адреса.

IP: 192.168.81.6
NET: 255.255.255.252
GW: 192.168.81.5

Задача: объединить в единую сеть сети, расположенные за DFL'ми с обоих сторон, плюс возможность доступа в интернет всех "Сторон".


Уже запутался с этими NAT'ми и прочим. В настоящий момент добился того, что Интернет есть на Стороне А (тут всё просто =) и роутеры "видят" друг друга через "серую" подсеть. Никак не получается сделать так, чтобы компьютеры за роутерами видели друг друга... Если не очень сложно и есть минутка - помогите - буду безумно благодарен!

В единую не получиться. подсети все ранво будут различаться. Что вы понимаете под "выход в интернет со всех сторон"?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Под "единой" я понимал то факт, что ресурсы одной подсети будут доступны другой и наоборот =)
"Выход в интернет со всех сторон" - это значит, что пользователи со Стороны Б за отсутствием интернета (есть только серая подсеть, которая "упирается" в Сторону А) должны через эту Сторону А выходит в интернет. То есть Сторона А должна разрешать доступ в интернет не только "своим" пользователям, которые "сидят" на LAN порту, но и пользователям, которые расположены за виртуальным интерфейсом и DFL'ем на Стороне Б...

Для начала, давайте разберемся:
у нас есть сеть WAN, которая дает нам интернет
wan_ip: 95.167.185.55
wan_netmask: 255.255.255.252
wan_gw: 95.167.185.54

есть сеть LAN1
lan1_ip: 192.168.81.2
lan1_netmask: 255.255.255.252
lan1_gw: 192.168.81.1
Я так понял, это пример настроек для компа в этой сети? чего-то не хватает, кто такой 192.168.81.1?

и есть сеть LAN
lan_ip: 192.168.81.6
lan_netmask: 255.255.255.252
lan_gw: 192.168.81.5 - а это кто?

Для начала создаем 2 сети VLAN, помещаем их на интерфейс wan, статические настройки убираем с интерфейса для того, чтобы он игнорировал нетегированый трафик в этой сети.
Втыкаем шнур с VLAN'ами в интерфейс wan.
Шнур серой сетки втыкаем в интерфейс lan.

Далее я не понял, как быть, ибо вижу 3 маленькие сетки с маской 252, которые возможно присоединены к серверу, какую роль должна будет выполнять DFL? Можно поконкретнее?

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

Из решений можно представить следующее:
Серая сеть без виланов будет принадлежать DFL, сеть VLAN 960 будет тоже на DFL, с сервера их убираем.

Итак, имеем 3 интерфейса: VLAN948, VLAN960 и LAN.
на интерфейсах VLAN960 и LAN шлюзом являеться будет DFL.
так как в сети используются адреса 192.168.х.х, логично предположить, что NAT нам подойдет,
создаем 2 IP правила:
1:
Name: lan_to_vlan948
Action: NAT
Service: all_tcpudpicmp
Source interface: lan
Source network: lannet
Dst-interface: VLAN948
Dst-network:all-nets
2:
Name: vlan960_to_vlan948
Action: NAT
Service: all_tcpudpicmp
Source interface: VLAN960
Source network: vlannet960 - сеть на 960 вилане
Dst-interface: VLAN948
Dst-network:all-nets

на этом раздача интернета реализована...

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

Чтобы организовать VLAN960 и LAN нужно мучать таблицу маршрутизации...2 маршрута, один для первой сети во вторую, другой для второй сети в первую
1. Маршрут lan lannet --> lan_ip
2. Маршрут vlan960 vlannet960 --> vlan960_ip

Будут комментарии - разберемся подробнее

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

Провайдер своими силами сделал VPN и выдал для двух сторон такие серые подсети. Соответсвенно, на Стороне А шлюз для доступа к Стороне Б 192.168.81.1, а на Стороне Б 192.168.81.5. Как ходят пакеты внутри проовайдера - не суть важно, факт в том, что роутеры друг друга "видят" (пинг от одного до другого проходит).

Вся соль в том, как теперь сделать так, чтобы пакет со Стороны А локальной сети 192.168.1.0/24 "шёл" по этому VPN пространству (192.168.81.2 -> 192.168.81.6) и попадал на Сторону Б, где у нас вторая локальная сеть с адресами 192.168.2.0/24, ну и не дропался само собой, а обрабатывался DFL'ем Стороны Б.

Прощё говоря, чтобы пользователь на Стороне А с адресом 192.168.1.100 "видел" пользователя на Стороне Б у которого адрес 192.168.2.25, но доступ между этими подсетями возможен только через провайдерский VPN с выделенной с каждой стороны маленькой подсетью (/30)...вот задачка =)

Тут уже одной DFL-210 маловато, нужно либо лепить IPSEC туннель между двумя, либо нужен еще фаервол, который будет рулить трафиком и держать PPTP на DFL... Одной железки очевидно не достаточно.

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

Печально...неужели придётся строить лишние "хитрости"...почему мне казалось, что можно обойтись NAT'ми...

Что-то я не вижу необходимости дополнительных туннелей
Замечание - lannet'ы обоиих DFL должны быть разными и отличными от 192.168.81.0/24
Ну и оба DFL должны быть "чистыми" (стандартные значения не описываю)

На DFL#А

1) Objects > Address book > InterfaceAddresses
Добавляете объекты
vlan948_ip = 95.167.185.55
vlan948_net = 95.167.185.54-95.167.185.55
vlan948_gw = 95.167.185.54
# тут хочу уточнить - точно адреса 54-55, а не 53-54?
vlan960_ip = 192.168.81.2
vlan960_net = 192.168.81.0/30
vlan960_gw = 192.168.81.1
Добавляете группу
lans_nets = lannet + vlan960_net

2) Interfaces > Ethernet > wan
Снимаете галки add foute for network, add default route, DHCP client - ибо считаем что физический wan не нужен

3) Interfaces > VLAN
Добавляете интерфейсы vlan948 и vlan960
Для vlan948 оставляете все по умолчанию
Для vlan960 снимаете галку add default route

4) Interfaces > Interface groups
lans = lan + vlan960

5) Rules > IP rules > lan_to_wan
Заменяете в NAT правилах lan на lans, lannet на lans_nets

Rules > IP rules > lans (создайте папку)
Добавляете правила
allow lans/lans_nets lans/lans_nets all_services # разрешаем трафик lan <-> vlan960
allow vlan960/vlan960_net core/lan_ip ping-inbound # разрешаем ping vlan960 -> DFL

На DFL#B

1) Interfaces > Ethernet > wan
Убедитесь что стоят галки add route, add default route и снята DHCP

2) Objects > Address book > InterfaceAddresses
wan_ip = 192.168.81.6
wannet = 192.168.81.4/30
wan_gw = 192.168.81.5
Добавляете
remote_lan_net = lannet DFL#A

3) Rules > IP rules > lans (делаете папку _выше_ lan_to_wan)
allow lan/lannet wan/remote_lan_net all_services
allow wan/remote_lan_net lan/lannet all_services
allow wan/remote_lan_net core/lan_ip ping-inbound

Все, по IP адресам у вас все ровно и будет работать.
Если необходим DNS relay через DFL, настраивайте его по FAQ, но с применением lans/lans_nets
Если необходимо общее сетевое окружение, настройте WINS сервер

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Всем огромное спасибо за ответы!!!

Проблема была в том, что шлюз провайдера просто не пропускал ничего, адресованное не подсетям, выделенных для Стороны А и Стороны Б. Решилась проблема резрешением прохождения пакетов на оборудования провайдера - и никаких туннелей =)