1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 28, 2025 14:57

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 2 из 2
  [ Сообщений: 21 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
invm
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 08, 2005 14:43 
Не в сети

Зарегистрирован: Пн авг 08, 2005 14:39
Сообщений: 138
Откуда: Moscow
Olegator писал(а):
Во-во-во, очень актуальная для меня тема.

В общем, ситуация вполне стандартная: три пользователя из одного подъезда подключаются к сети провайдера. В этой сети помимо локальных ресурсов наличествует доступ в Интернет через VPN-подключение (PPTP). С целью разделения этого счастья на троих был приобретён роутер DI-604. Очень порадовало то, что помимо VPN pass-through у этого устройства имеется (в полной мере с обновлением прошивки) возможность самому подключаться к провайдерскому VPN-серверу и раздавать Интернет.

Всё бы хорошо, но возникли проблемы:

1) VPN pass-through, сиречь на компе создаётся VPN-подключение. Врубаю его -- Интернет появляется, но пропадает локалка. Объясняется легко: при подключении к VPN-шлюзу провайдера, на локальный комп добавляется маршрут для внешней сети (0.0.0.0/0) с шлюзом, выданным этим VPN-сервером. То есть во так:
Код:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс       Метрика
          0.0.0.0          0.0.0.0      10.10.*.*         10.10.*.*       1
          0.0.0.0          0.0.0.0      192.168.0.1       192.168.0.121   21

10.10.*.* -- выданный VPN-сервером адрес шлюза
192.168.0.1 -- DI-604

Заметьте, метрика у него ниже "правильного" маршрута. Соответственно, запросы на провайдерскую локалку (которая также относится к внешней сети) маршрутизируются на неподходящий шлюз. Лечится это легко: прописываются постоянные маршруты вида:
Код:
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      10.10.*.0        255.255.255.0      192.168.0.1       1

* -- каждая подсеть локалки провайдера.

Всё вроде в шоколаде, но проблема выползает, когда другой из трёх соседей в то же время захочет Интернета. И фигушки! Ведь один из них уже авторизовался на VPN-сервере! Что делать? Пробуем другой вариант:

2) VPN PPTP настройки непосредственно на роутере. И здесь опять поначалу всё отлично -- DI-604 цепляется на VPN-сервер, Интернет шарится на всех трёх. Но не работает локалка! И в данном случае от дополнительных правил маршрутизации на компах толку не будет, надо что-то делать на роутере. Но что?

Очень надеюсь на вашу помощь.

Спасибо.


Поставьте два DI-604 каскадом. Внешний для доступа в локалку, внутренний для доступа в интернет через VPN. Маршруты прописать статически на клиентах.
Вернуться наверх
 Профиль  
 
Olegator
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 08, 2005 17:55 
Не в сети

Зарегистрирован: Пн май 24, 2004 15:13
Сообщений: 11
Изображение Отличная идея!
Только Вы уверены, что это будет работать? Сообразит ли внутренний роутер, что запросы к вшенему роутеру следует маршрутизировать на внешний роутер, который будет висеть на WAN-интерфейсе?
Вернуться наверх
 Профиль  
 
invm
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 08, 2005 21:30 
Не в сети

Зарегистрирован: Пн авг 08, 2005 14:39
Сообщений: 138
Откуда: Moscow
Будет работать, кудаж ему деваться. Внутреннему не надо ничего маршрутизировать, его задача поднять тунель через внешний. А внешний для туннеля будет прозрачен. На клиентах default gateway - lan-интерфейс внутреннего плюс статический маршрут до локалки провайдера через lan-интерфейс внешнего.
Вернуться наверх
 Профиль  
 
Olegator
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 08, 2005 23:36 
Не в сети

Зарегистрирован: Пн май 24, 2004 15:13
Сообщений: 11
invm писал(а):
Будет работать, кудаж ему деваться. Внутреннему не надо ничего маршрутизировать, его задача поднять тунель через внешний. А внешний для туннеля будет прозрачен. На клиентах default gateway - lan-интерфейс внутреннего плюс статический маршрут до локалки провайдера через lan-интерфейс внешнего.


А не станет ли внутренний роутер пускать запросы к внешнему через VPN-сервер? Пробовали ли Вы такую схему сами?
Вернуться наверх
 Профиль  
 
invm
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 09, 2005 09:22 
Не в сети

Зарегистрирован: Пн авг 08, 2005 14:39
Сообщений: 138
Откуда: Moscow
Olegator писал(а):
А не станет ли внутренний роутер пускать запросы к внешнему через VPN-сервер? Пробовали ли Вы такую схему сами?

Нет, именно с двумя с двумя 604 не пробовал. Пробовал DI-704P и выделенный комп с Mikrotik 2.8.28. Все замечательно работает. Насколько я понимаю вариант с двумя 604 тоже будет вполне работоспособен. Только нужно немножко хитро адреса назначить. Например (внимательно смотрим на маски подсетей):

Внешний 604
WAN - настройки провайдера
LAN - 192.168.1.254/24

Внутренний 604 (WAN'ом и LAN'ом воткнут в два LAN'а внешнего)
WAN - 192.168.1.253/24, шлюз 192.168.1.254, Server IP/Name - адрес VPN сервера провайдера
LAN - 192.168.1.126/25

DHCP на обоих 604 выключен.
Клиентские компы воткнуты во внешний 604 и должны иметь адреса в диапазоне от 192.168.1.1/24 до 192.168.1.125/24 шлюз - 192.168.1.126. Может быть придется немножко повозится с настройками DNS.
Вернуться наверх
 Профиль  
 
Olegator
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 09, 2005 11:49 
Не в сети

Зарегистрирован: Пн май 24, 2004 15:13
Сообщений: 11
invm писал(а):
Насколько я понимаю вариант с двумя 604 тоже будет вполне работоспособен.


Хорошо бы ещё услышать мнения представителей D-Link'а на этот счёт.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 2 из 2
  [ Сообщений: 21 ]  На страницу Пред.  1, 2

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 256

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB