Нашел информацию по динамическому ipsec туннелю, буду тестировать
http://www.dlink.ru/ru/faq/92/927.html

Если указать remote endpoint = none, то на эту "удочку" будет ловиться и Ваш первый туннель, в результате все запутается, по крайней мере у меня так было. А вот если диапазон --- не пробовал, попробуйте и отпишите.

Вариант с динамическим IPSec отпал т.к. роутер 3G не поддерживает T-NAT.
Настроил подключение к PPTP серверу на компьютерах пользователей. При подключение второго пользователя, на этапе проверки пароля, возникает ошибка 619.
Нашел схожую тему viewtopic.php?f=3&t=163007&hilit=pptp#p884439, причина вроде как в альтернативной таблице и PBR.
Помогите разобраться

Настройки маршрутизатора к которому подключаются пользователи
DFL-800 (2.26.00.06-12649)
wan1 = статический IP
lan_ip = 192.168.0.1
lannet = 192.168.0.0/24
pptp_ippools - 192.168.0.200-192.168.0.205
Создана одна учетная запись для всех подключений ("Разрешить несколько логинов для одного имени пользователя")
Статический IP-адрес клиента: (none)
Сети за пользователем: pptp_ippools
Правило Allow для pptp в lan и обратно

Настройки железа через которое подключатся пользователи к PPTP серверу
Huawei B970B 3G (резервный канал)
wan = динамический IP
lan_ip=192.168.2.1

DFL-860E
wan2_ip = 192.168.2.2
lan_ip = 192.168.0.1
lannet = 192.168.0.0/24
Добавил PPTP_ALG в сервис pptp-ctl, создал правило #1 NAT lan lannet wan2 all-nets pptp-suite

Таблицы маршрутизации
MAIN
wan1 all-nets 90
ipsec remotenet 90
lan lannet 100
wan2 wan1net 100
wan2 all-nets wan1_gw 100

ALT
wan2 wan1net 90
wan2 all-nets wan1_gw 90
wan1 all-nets 100

PBR
outbound lan internet_wan2 wan1 all-net all_services
inbound wan2 all-net any all-nets all_services

NAT-T не требует поддержки на NAT-устройствах, UPNP для него не нужен. При статическом IP желательно пробрасывать порты UDP 500 и 4500, чтобы и другая сторона могла быть инициатором, но т. к. IP динамический, это не имеет смысла.


Известный эффект протокола GRE, у которого нет номеров портов, по которым можно было бы демультиплексировать потоки. На DFL лечится подключением PPTP ALG, но Вам вряд ли поможет -- 3G рутер еще.
Кстати, мне непонятна маркетинговая политика GSM/GPRS/3G сетей -- создается впечатление, что они просто не хотят, чтобы их связь использовали для корпоративных решений: брендированные модемы, не желающие работать со многими маршрутизаторами, отсутствие услуги статического IP, проблемы с прохождением VPN...

Могли бы пояснить, в моем случае динамический IPSec будет работать или нет?



PPTP ALG настроен на DFL-860



Полностью с Вами согласен. Как вы думаете подключение услуги от мегафон "выделенный IP" может решить эту проблему?http://moscow.megafon.ru/internet/mobile_internet_services/prochie_uslugi/dinamicheskijo_ip-adres.html

А что мешает попробовать? На самом деле в Вашем случае две трудности: 1) будет ли в принципе работать через GPRS и 2) не будет ли мешать основному туннелю.



Это и есть "белый" IP, про который я спрашивал ранее. Без него точно ничего не получится, получится ли с ним -- пробуйте! Если с "полудинамическим" туннелем ничего не выйдет, попытайтесь с DynDNS.

Самое интересное что на прямую через роутер 3G, VPN работает

Выражайтесь точнее. Что работает? IPSEC? Один PPTP? Несколько сессий PPTP?

Если подключить компьютер к роутерe 3G напрямую, то одно PPTP подключение, больше пробовали. Но через сутки и через эту схему PPTP подключение перестало работать. Не пойму куда копать, из-за чего во время проверки пароля появляется ошибка 619.

не пойму а что мешает например сделать схему с микротиком
на DFL поднимаете PPTP сервер . на микротике с 3Г , PPTP клиента , конектитесь - дальше маршрутизация - правила - проффитт , все работает .

пользователи в инет через 3Г туннель туда же но к центральному офису - все вполне работоспособно - и не надо марочится с натами .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

рассматривал вариант с MicroTik, но я не нашел со встроенный модемом (планировалось подключение внешней антенны для усиления сигнала)

А кто мешает включить смекалку?

Берем 3G-USB-свисток и подключаем к нему внешнюю антенну при помощи переходника. И там уже не важно, Микротик там будет, Зухель или еще кто-то.

В моем случае это старый добрый Huawei-E173:

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

а кто мешает , взять удлинитель USB ( я например сделал сам из куска витухи и простого удлиннителя разрезанного пополам ) получился 8 метров, сгонял на рынок , купил простую распаячную коробку с классом защиты IP 65 , микротик над окном , кабель в окошко , коробочку с модемом на мачточку , все арбайтем .... если совсем хочется извращаться то внутри коробочки можете проложить фольгой - получится что то на подобие рупорной антенны . ну и про герметичность не забываем - коробочку пред закрытием обмазываем силиконовым герметикам ..... кстати видел подобную схему ,на просторах интернета , из бутылочки йогурта чудо .... тоже нормально получится

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

MTRX, Vladimir22 спасибо Вам за подробное описание, все эти варианты буду иметь ввиду на будущее, но сейчас уже есть в распоряжении разлоченый Huawei B970B.

Huawei B970b беспроводной 3G маршрутизатор со встроенной 3G-антенной.
Он имеет 4 порта Ethernet, аналоговый порт для подключения телефона, Wi-Fi поддержку,
а также подключение внешней антенны. Подключение к компьютеру через USB.
http://3g-router.shopcarry.ru/huawei-b9 ... -antennoi/

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...