[Disease]

Есть идея зделать такую схему:

 

VPN сервер [интернет]

|

|

[публичная_локальная_сеть_с_клиентами]

|

|

[DI-614+] (A)

|

(банка и 1 км по радио)

|

[DI-614+] (B)

|

|

[другая_сеть_с_клиентами]

 

Между VPN-сервером и точкой A = VPN туннель для защиты от своих кулхацкеров.

 

другая сеть с клиентами тоже подключается через VPN к серверу. (каждому клиенту по туннелю).

 

От "других_клиентов" до т.B - один туннель, с т.A до сервера вложенные туннели.

 

Все заработает?

[RoofCat]

Добрый день,

 

другая сеть с клиентами тоже подключается через VPN к серверу. (каждому клиенту по туннелю).

 

От "других_клиентов" до т.B - один туннель, с т.A до сервера вложенные туннели.

 

Возможно я что-то недопонял, но IMHO на 614+ туннели "приземлять" нельзя (как планируется в т.B). Пропускать туннели может, сама инициировать один туннель может, а вот приземлять на нее туннели...

 

И, по моему опыту, 614+ - не лучший выбор с т.з. надежности. У меня она стоит в паре с реле времени, которое снимает с нее питание раз в сутки, чтобы не висла.

[Disease]

Добрый день,

 

другая сеть с клиентами тоже подключается через VPN к серверу. (каждому клиенту по туннелю).

 

От "других_клиентов" до т.B - один туннель, с т.A до сервера вложенные туннели.

 

Возможно я что-то недопонял, но IMHO на 614+ туннели "приземлять" нельзя (как планируется в т.B). Пропускать туннели может, сама инициировать один туннель может, а вот приземлять на нее туннели...

Именно приземлить нужно. Если не трудно какие девайсы могут потянуть это?

 

И, по моему опыту, 614+ - не лучший выбор с т.з. надежности. У меня она стоит в паре с реле времени, которое снимает с нее питание раз в сутки, чтобы не висла.

 

Мне нужно получить дешевый линк - в сети (другие клиенты) всего 6 машин...

 

 

 

т.А инициализирует туннель до VPN-Server'a

Другие клиенты цепляются к VPN серверу через т.B

 

Через "публичную_сеть" будут идти от т.А до сервера - туннель (транспорт от клиентов до S) в туннеле (транспорт от A до S)

[RoofCat]

Если я правильно помню, у dlinka есть что-то, начинающееся с цифры 8 (807?), и это что-то позволяет приземлить на себя VPN. хотя это решение вряд ли можно назвать бюджетным.

 

Теоретически, можно постоить что-то подобное на маршрутизаторах, к которым есть открытые исходники. Вроде бы подобная тема затрагивалась в форумах посвященных asus wl-500g, хотя до работающих fimware дело вроде пока не дошло.

[Гость]

А есть другая проблема:

есть 2 длинка 900+, расстояние 1-2 км, как создать между ними линк: какие банки применять? какой кабель (50/75)? где взять разъемы для подключения антенну к роутеру?

 

Буду рад любому совету, любой информации. Первый раз сталкиваюсь с радиоэзером, а в нашей провинции и проконсультироваться негде и тем более что-то купить.

[Disease]

Если я правильно помню, у dlinka есть что-то, начинающееся с цифры 8 (807?), и это что-то позволяет приземлить на себя VPN. хотя это решение вряд ли можно назвать бюджетным.

 

Теоретически, можно постоить что-то подобное на маршрутизаторах, к которым есть открытые исходники. Вроде бы подобная тема затрагивалась в форумах посвященных asus wl-500g, хотя до работающих fimware дело вроде пока не дошло.

 

Не обязательно приземлять. В моем случае подключение идет к VPN-Server'у (на нем приземляются). DI-614+ должен создать VPN соединение и подключиться к серверу.

[Гость]

Все заработает?

 

Нет... не заработает... DI-614+ не может работать в качестве беспроводного клиента... в нем _только_ точка доступа... соответственно (В) не сможет подключться к (А)...

[RoofCat]

Не обязательно приземлять. В моем случае подключение идет к VPN-Server'у (на нем приземляются). DI-614+ должен создать VPN соединение и подключиться к серверу.

 

Т.е. нужно просто поднять WAN соединение по PPTP через эфир - от т.B до т.A ?

 

Тогда делаем так - берем еще одну точку доступа (например, AP900+), загоняем ее в режим wireless client и соединяем сетевым кабелем с WAN интерфейсом т.B. Единственное что меня смущает - когда ставишь 614+ в PPTP режим, у него отключается PPTP passthrough, так что сможет ли т.А пропустить туннель от т.B до VPN сервера. Стоило бы сначала собрать на столе.

 

Только при этом будет один туннель от А до VPN сервера, один туннель от т.B до VPN сервера (полувложенный - на отрезке от A до VPN сервера), и клиентские туннели от клиентов до того же VPN сервера.

 

А может, эфир стоит защищать другими мерами - типа направленные антенны, ограничение broadcast ssid, ограничение MAC адресов, регулярная замена wep ключей, или вообще поискать оборудование с WPA? Или у клиентов все настолько серьезно?

[Disease]

C этой проблемой я обратился в D-LINK предоставил им развернутую схему с подробным описанием, вот наша переписка:

============================================

Вот условная схема сети.

(картинка не у всех отображается)

 

VPN-Server раздает является роутером в интернет, на нем стоит биллинг и vpn-сервер (т.е. к нему подключаются все пользователи индивидуальными VPN +CHAP тунелями).

 

Есть две сети = Публичная (слева) и Другая (Справа). В качестве свичей - DES-1008D, пользователи - маленькие шарики (U1, U2).

 

Другая сеть удалена примерно на 1 км . Ставить другой сети дополнительный сервер с биллингом и прочее слишком сложно (все это хозяйство содержать).

 

Клиенты из публичной сети (u1) через цепочку свичей подключаются индивидуальными туннелями (tun1).

 

Клиенты из другой сети (u2) тоже подключаются индивидуальными туннерями, НО я не хочу давать другим пользователям сети - хочу чтобы они видели ТОЛЬКО сервер (возможно вложенные туннели не понадобятся, по IP разрешить доступ в файрволле DI-614+ на IP сервера).

 

Если без файрволла то - DI-614+ (точка А) должна подлкючиться к серверу туннелем tun2 и держать соединение, тогда как клиенты другой сети (u2 ) будут устанавливать соедиение (tun3) только к серверу и видеть (из-за тунеля tun2) Только сервер.

Скорость нужна маленькая = 256кбит хватит.

 

Понятна мысль?

============================================

 

и ответ

 

============================================

ясно. теоретически должно работать в случае если 614+ внешним

нтерфейсом цепляется по PPPoE или РРТР. А клиенты за беспроводным

сегментом строят каналы по РРТР или IPSec. Настройки 614+ можно

посмотреть здесь:

http://support.dlink.com/techtool/di614+/e...or/h_wizard.htm

для внешнего интерфейса закладка home->WAN, для активации проброса VPN

через NAT Tools -> Misc -> VPN Pass-Through

Кстати, NAT в 614+ НЕ отключается.

Если честно то на практике подобную схему я не пробовал. Если есть

желание протестировать оборудование в таком режиме, обратитесь к

Дмитрию Быкову, он может предоставить устройства.

============================================[/img]