Здравствуйте всем!Имеется две сетки:
1. Офисная:
192.168.9.0\24
Win2k Server SP4 с двумя сетевыми (Одна смотрит в интернет 194.x.x.x, другая, через коммутатор - в локальную офисную сеть)
Win2k выполняет роль интернет-маршрутизатора: поднят NAT (для банковских терминалов, т.к. им нужен прямой доступ в и-нет)
Поднят VPN (PPTP) сервер. И имеется прокси - для остальных.
2. Филиал:
192.168.10.0\28 (Раньше была та же подсеть, что и у офиса, т.е. 9.0\24)
Комп менеджера (192.168.10.2) Находится в домене (контроллер домена в офисе), без доступа в интернет
Пара кассовых терминалов (работают по NetBEUI)
И пара IP-шных банковских терминала (192.168.10.3 и 10.4) соответственно (Требуют прямой доступ в интернет)
Старый провайдер обеспечивал канал между сетками, поэтому подсеть была одна и та же. Использовались серые IP (банковские терминалы ходили в и-нет через NAT Win2k сервера). Новый провайдер поменял оборудование и канал пропал (заявили, что старая схема на новом оборудовании не реализуема), зато появился интернет у филиала со статическим "белым" IP 195.х.х.х.
Возможно ли обеспечить с помощью DI-804HV работу по старой схеме, с установкой маршрутизатора только в филиале? Дело в том, что офисный Win2k помимо всего прочего ещё является OpenVPN клиентом для головного офиса (через это соединение люди с 1С работают), и, соответственно, туда дополнительный маршрутизатор не поставишь (в головном никто перенастраивать не будет).
Предпринятые попытки:
Маршрутизатор DI-804HV на стороне филиала. Прошивка: Firmware V1.53RU, Fri, Apr 30 2010
1. Попытка настроить IPSec туннель согласно статьи
http://www.d-link.ru/ru/faq/92/516.html.
Для этого, разумеется WAN настраивался как Static IP.
Попутно возник первый вопрос: Разве у данного роутера NAT отключаемый?
Второй вопрос возник при настройке тунеля: Что такое Remote ID и Local ID, в F.A.Q.-е об этом ни слова. В help-е описание весьма туманное.
Третий вопрос: Что такое IPSec NAT Traversal (Там же где и Remote ID)?
При настройке IKE Proposal и IPSec Proposal обнаружил что в Encrypt Algorithm доступен только DES. А где же 3DES?
В общем сделал по аналогии со статьей (но с использованием DES вместо 3DES), но ping-и так и не пошли, хотя статус IPSec тунеля - Established.
Статья, конечно, хорошая, но ориентирована "только" на локальную сеть, где только "серые IP". Тем более, что указать в качестве шлюза для сервера роутерский IP я не могу, т.к. там уже стоит роутер провайдера (и наоборот).
2. Попытка подключиться по PPTP.
WAN подключал непосредственно к VPN серверу офиса (кстати, при подключении VPN-сервером назначается статический IP клиенту). Подключение проходило "на ура". IP банковских терминалов смаршрутизировал на внешний IP роутера - тоже получилось.
Комп менеджера сеть офисную "видит" (по крайней мере IP офиса пингуются).
В принципе получилось, но ...
Из офиса комп менеджера не виден (При подключении по PPTP нет опции отключения NAT-а).
Когда пробросил порт 445 (SMB), комп. увиделся, но ... а если этих компов будет не один? Более того, возникла проблема при подключении касс к расшареным сетевым ресурсам (Access denied) - комп-то менеджера в домене. Да и грузится машинка дольше (видимо проблемы с аутентификацией на контроллере домена).
Сейчас все работает по запасной схеме: роутер как интернет-маршуртизатор, на компе менеджера - VPN, запускаемый планировщиком при загрузке. Но для доменной машинки это не "есть гуд".
Поэтому сейчас два варианта: либо с вашей помощью и шаманским бубном добить VPN-шлюз (в принципе я даже готов банковские терминалы по старой схеме пустить (через NAT Win2k сервера офиса), лишь бы соединить эти две подсетки);
либо вместо DI-804HV взять чего попроще.
Помогие, плизз. Уже весь мозг сломал.
Вход
Регистрация
FAQ
Поиск
