Добрый день.
Регулярно возникают вопросы по конфигурациям WAN в режиме PPTP, L2TP, PPPoE. Предлагаю обсудить и выяснить нюансы и работоспособность различных устройств в таких режимах на примере WAN+PPTP. Если в описываемых ниже вариантах есть разница в работе устройств разных серий, то прошу указывать явно, например, "работает для серий 7хх и выше".

Назову интерфейс WAN - eth0
Интерфейс PPTP, установленный с маршрутизатора - pptp0

1. Какие параметры конфигурации доступны и поддерживаются для pptp0? Имя сервера, логин, пароль. Тип аутентификации (pap, chap, mschap)? Шифрование? Сжатие?

2. Полностью ли работоспособны связка Static eth0 + pptp0 ? Есть ли влияние на остальные нюансы?

3. Полностью ли работоспособны связка Dinamic eth0 + pptp0 ? Есть ли влияние на остальные нюансы? Кстати, в DI-624 при такой конфигурации недоступна смена МАС-адреса, хотя если её поменять заранее при "Dinamic eth0", то эта настройка остаётся и работает.

4. Какие особенности маршрутизации из сети LAN в сети на интерфейсах eth0 и pptp0 ? Это штатная желаемая схема работы в домовых и подобных сетях.

5. Что позволяет закладка Routing в серии 8хх в данном контексте?

6. Какие особенности работы firewall (пакетного фильтра)? Что в такой конфигурации будет подразумеваться под WAN?

7. На каком интерфейсе будут "публиковаться" Vitrual Servers?

по пунктам.
0. У наших маршрутизаторов ОДИН WAN, деление на WAN-PHYS (в вашей терминологии eth0) и просто WAN -- некорректно.
1. Шифрование, сжатие и выбор типа аутентификации не поддерживается. тип аутентификации выбирается автоматически из предлагаемых сервером в порядке MSCHAP, CHAP, PAP.
2. связка некорректна, как я объяснил выше.
3. Аналогично предыдущему.
4. маршрутизация через подлежащий физический интерфейс на текущий момент не поддерживается. Работы в этом направлении ведутся.
5. позволяет прописать маршруты на сети внутри, или снаружи в случае конфигурации WAN без PPP*
6. под WAN подразумевается именно WAN (то есть в случае PPP* именно он, а не подлежащий физический интефейс).
7. опять же на WAN.

_________________
С уважением -- Александр Шебаронин.

Ну это же не моя терминология, он же обязан работать и с интерфейсом WAN-PHYS, как Вы его назвали - как минимум, обращаясь к VPN-серверу и отвечая на ARP.

Тем не менее, я так понял, что в данных устройствах стек IP сильно упрощён и интерфейс WAN-PHYS практически недоступен.

Это касается всех вариантов - PPTP, L2TP, PPPoE (хотя насколько я понимаю, просто я с ним не работал, PPPoE не "поднимает" IP-интерфейс на eth, он "поднимает" именно IP-интерфейс PPP) ?

Как понять "позволяет прописать маршруты на сети внутри, или снаружи в случае конфигурации WAN без PPP*" ? В случае с PPP эта закладка работает? Хотя бы на "внутрение сети можно прописать маршрут? Например, при LAN IP 192.168.0.1 можно прописать маршрут на сеть 10.0.0.0:255.0.0.0 -> 192.168.0.253 ?

Да, касается всех протоколов, лежащих поверх.
да, закладка работает и позволяет сделать именно то, что вы и хотите.

_________________
С уважением -- Александр Шебаронин.

Re: "В настоящее время работы над доступом к локалке провайдера через наши устройства ведутся. Думаю в недалеком будущем прошивка появится."
(задам вопрос здесь чтобы концентрировать информацию)

А когда это можно ожидать?
Для каких серий?

о сроках пока ничего не скажу. Зависит это не только от меня.

_________________
С уважением -- Александр Шебаронин.

Александр!

А желязяки серии DFL разделяют эти два интерфейса (PHYS и WAN)? Поддерживают ли они выбор параметров протокола PPP? В принципе, все те же вопросы, что задавал уважаемый v932, только для DFL.

Устройства серии DFL разные... Некоторые да, разделяют, например DFL-200/700/800..., некоторые нет.

_________________
С уважением -- Александр Шебаронин.

А WAN в режиме PPTP не помешает делать портфорвардинг посредством virtual server или триггеров?

Продолжаем тему.

Просматривал свои логи на 824-ом. Видел раньше, но это было при отсутствии соединения PPTP, а тут это обнаружилось и при нем:

Saturday December 17, 2005 15:36:31 Blocked access attempt from 80.240.177.96:27881 to TCP port 139
Saturday December 17, 2005 15:36:39 Blocked access attempt from 80.240.161.169:1625 to TCP port 135
Saturday December 17, 2005 15:36:42 Blocked access attempt from 80.240.161.169:1625 to TCP port 135
Saturday December 17, 2005 15:48:04 Blocked access attempt from 192.168.12.29:1666 to UDP port 137
Saturday December 17, 2005 15:48:07 Blocked access attempt from 192.168.12.29:1675 to TCP port 139
Saturday December 17, 2005 15:48:08 Blocked access attempt from 192.168.12.29:1686 to TCP port 21
Saturday December 17, 2005 15:48:12 Blocked access attempt from 192.168.12.29:1699 to TCP port 80
Saturday December 17, 2005 15:48:15 Blocked access attempt from 192.168.12.29:1699 to TCP port 80
Saturday December 17, 2005 15:48:21 Blocked access attempt from 192.168.12.29:1699 to TCP port 80
Saturday December 17, 2005 15:49:17 Blocked access attempt from 80.240.177.96:27881 to TCP port 139

Наблюдение соедующее: firewall отрабатывает оба интерфейса и eth0 и pptp0. Вопрос какие правила действуют для eth0 интерфейса, дефолтные?

Кстати, у меня 704UP подключенному к инету по PPTP. В инете выдан честный статик адрес. Сетки ISP со своего компа естественно не видно. Но вот логах вижу записи о нераспознанном доступе как с адресов локалки ISP (10.0.1.ххх), так и из инета. Только в моем случае эти сообщения свидетельствуют об отсутсвии в NAT port-mapping записи для порта на который пришел пакет. До фаервола дело не доходит. Но вот интересно, получается что локалка ISP все видна каким-то боком, пакеты из нее доходят до NAT даже при поднятом PPTP на WAN.

Fuzzy, понятно, что видна!

Eth0 интерфейс никуда не исчезает - на него же приходят пакеты PPTP. Просто идет инкапсуляция одних пакетов - интефейс pptp0, в другие - интерфейс eth0.

Просто в разных режимах разные интерфейсы становятся основными, соответственно все функции (фаервол, маршрутизация и т.д.) работают с ним.

Вопрос только какие функции доступны для другого интерфейса. И вообще, как бы добраться до шелла в данном девайсе...

Да, вы правы, все обстоит примерно так. А вот шелла в этих устройствах просто нет, поэтому и добраться до него нельзя.

_________________
С уважением -- Александр Шебаронин.

Жаль, думаю многим здесь присутствующим шелл через SSH был бы роднее и приятнее, чем даже хороший и быстрый веб-интерфейс...

Думаю что большинству реально использующих этот шелл был бы как собаке пятая нога А усложнит он устройство изрядно, и ресурсов отъест...

_________________
С уважением -- Александр Шебаронин.