Что вы имеете ввиду под "тоже NAT" ? Я так понял, что для proxy_VLAN нужно разрешить NAT для доступа в Интернет из этой подсети? Для меня этот вариант идеально подходит, т.к. пользователи должны ходить только через прокси и никак иначе.

Если я запрещу правило LAN-WAN, то будут ли пользователи головного офиса видеть сеть удаленного офиса? (задаю этот вопрос, т.к. еще не приступил к конфигурированию устройств).

Прошу вас привести пример правила для запрещения прохождения трафика из 192.168.х.х в Интернет.
Разрешение прохождения трафика из 192.168.х.х через подсеть 10.0.х.х в Интернет.

Надеюсь это вас не затруднит, спасибо.

>Если я запрещу правило LAN-WAN, то будут ли пользователи головного офиса видеть сеть удаленного офиса?
Будут конечно, трафик IPsec <-> LAN регулируется отдельно
Allow lan/lannet ipsec/remote_net all_services
Allow ipsec/remote_net lan/lannet all_services

>пример правила для запрещения прохождения трафика из 192.168.х.х в Интернет.
Просто удалите/отключите группу lan_to_wan

>Разрешение прохождения трафика из 192.168.х.х через подсеть 10.0.х.х в Интернет.
С клиентов на прокси - не надо, он же одним хвостом смотрит в локалку
С прокси
NAT proxy_VLAN/proxy_ip wan/all-nets all_services

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ничего не понимаю!

Приступил к настройкам, создаю в Objects->Adress Book->Interface Adresses новый интерфейс lan1_ip (10.0.0.1), lan1net (10.0.0.1/30), сохраняю настройки, захожу в Interface->Ethernet, но новый интерфейс там не повляется, там всего три dmz,wan,lan. А где же остальные интерфейсы? или хотя бы тот, что я создавал lan1 ?

Поскольку нет lan1, я не могу создать VLAN или я что-то делаю не так? Ко всему прочему не могу скачать мануал с фтп.длинк, постоянно показывает битую ссылку.

Как мне настроить два VLAN? первый должен смотреть на прокси и иметь адрес 10.0.0.1, физически лан-порт под номером 2, второй должен смотреть на свитч и иметь адрес 192.168.0.253, физически лан-порт под номером 3.

Абсолютно не понимаю какой логикой необходимо руководствоваться чтобы настроить устройство.

вам всего то надо оставить lan как есть - это локальная сеть 192.168.1.0/24.

в разделе интерфейсов создать VLAN, назначить его нетегированным на один из LAN портов. разумеется, прежде лучше создать для него адрес и подсеть 10.0.0.0/24. Хотя я бы из любви к искусству посоветовал другую - из 192.168.x.x или 172.16-31.x.x. Т.к. сеть 10.0.0.0/8 и ее начало очень любят провайдеры.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо, с VLAN разобрался, есть особая специфика у DFL, с точки зрения построения пользовательского интерфейса , почему-то привычно искать логику уже опробованных устройств и средств в чем-то новом и сетовать на это.

Снова вопрос, настраиваю LAN-to-LAN VPN по инструкции, в этот раз решил не отступать от нее, WAN1_IP - должен быть белый IP-адрес удаленного DFL ? WAN1net - соответственно его маска подсети? Прошу прощения за глупые вопросы, не спал двое суток. Спасибо.

wan1net - маска, но пересчитанная в CIDR - http://www.subnet-calculator.com

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Прошу немного пояснить, маска External-интерфейса, или все же маска подсети (пересчитанная в CIDR), сегмента находящегося за маршрутизатором?

Инструкция говорит, что необходимо создать новую папку в Objects->Adress Book, затем в папке создать IP4 Group c именем например remote_net, там указано 192.168.3.0/24 - т.е. маска подсети удаленной сети за маршрутизатором, в то время как следующая создаваемая группа remote_wan (например) имеет адрес шлюза, т.е. действительный белый IP-адрес, ведь так?

Еще вопрос по поводу PPTP, создал IP-pool, 192.168.100.1-192.168.100.10, настроил клиентов и сервер по инструкции, пользователи подключаются к серверу. При подключении юзеров я разрешил IP-правилом прохождение трафика из 192.168.100.0/24 в VLAN 192.168.0.0/24, но пинги не проходят не смотря на Allow all_service, понимаю что дело с маршрутизацией, разве при создании сервера маршрут не прописывается автоматически? Или дело в VLAN ?

вверх

UP!

Адрес+маска пересчитываются в CIDR

Касательно РРТР - нет, маршрут не прописывается. Либо оставляйте галку шлюза, либо добавляйте маршрут после подключения на клиенте

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Пинг пошел, по IP-адресу могу достучаться и до расшаренных ресурсов и до RDP, однако как разрешить удаленным клиентам видеть рабочую группу к которой они подключаются? Понимаю, что копать следует в сторону разрешения broadcast-пакетов или установки сервера WINS ?

Конфигурация такая: впн пользователь подключается к сети 192.168.0.0./24, получает IP-адрес их этой подсети, имеет название рабочей группы совпадающее с той, в которую он подключается, но ни клиенты локальной сети, ни впн-пользователь по именам друг-друга не видят.

WINS
Широковещание через DFL не пойдет

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc