Disease Опубликовано 5 мая, 2004 · Жалоба Есть идея зделать такую схему: VPN сервер [интернет] | | [публичная_локальная_сеть_с_клиентами] | | [DI-614+] (A) | (банка и 1 км по радио) | [DI-614+] (B) | | [другая_сеть_с_клиентами] Между VPN-сервером и точкой A = VPN туннель для защиты от своих кулхацкеров. другая сеть с клиентами тоже подключается через VPN к серверу. (каждому клиенту по туннелю). От "других_клиентов" до т.B - один туннель, с т.A до сервера вложенные туннели. Все заработает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RoofCat Опубликовано 5 мая, 2004 · Жалоба Добрый день, другая сеть с клиентами тоже подключается через VPN к серверу. (каждому клиенту по туннелю). От "других_клиентов" до т.B - один туннель, с т.A до сервера вложенные туннели. Возможно я что-то недопонял, но IMHO на 614+ туннели "приземлять" нельзя (как планируется в т.B). Пропускать туннели может, сама инициировать один туннель может, а вот приземлять на нее туннели... И, по моему опыту, 614+ - не лучший выбор с т.з. надежности. У меня она стоит в паре с реле времени, которое снимает с нее питание раз в сутки, чтобы не висла. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Disease Опубликовано 5 мая, 2004 · Жалоба Добрый день, другая сеть с клиентами тоже подключается через VPN к серверу. (каждому клиенту по туннелю). От "других_клиентов" до т.B - один туннель, с т.A до сервера вложенные туннели. Возможно я что-то недопонял, но IMHO на 614+ туннели "приземлять" нельзя (как планируется в т.B). Пропускать туннели может, сама инициировать один туннель может, а вот приземлять на нее туннели... Именно приземлить нужно. Если не трудно какие девайсы могут потянуть это? И, по моему опыту, 614+ - не лучший выбор с т.з. надежности. У меня она стоит в паре с реле времени, которое снимает с нее питание раз в сутки, чтобы не висла. Мне нужно получить дешевый линк - в сети (другие клиенты) всего 6 машин... т.А инициализирует туннель до VPN-Server'a Другие клиенты цепляются к VPN серверу через т.B Через "публичную_сеть" будут идти от т.А до сервера - туннель (транспорт от клиентов до S) в туннеле (транспорт от A до S) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RoofCat Опубликовано 5 мая, 2004 · Жалоба Если я правильно помню, у dlinka есть что-то, начинающееся с цифры 8 (807?), и это что-то позволяет приземлить на себя VPN. хотя это решение вряд ли можно назвать бюджетным. Теоретически, можно постоить что-то подобное на маршрутизаторах, к которым есть открытые исходники. Вроде бы подобная тема затрагивалась в форумах посвященных asus wl-500g, хотя до работающих fimware дело вроде пока не дошло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 5 мая, 2004 · Жалоба А есть другая проблема: есть 2 длинка 900+, расстояние 1-2 км, как создать между ними линк: какие банки применять? какой кабель (50/75)? где взять разъемы для подключения антенну к роутеру? Буду рад любому совету, любой информации. Первый раз сталкиваюсь с радиоэзером, а в нашей провинции и проконсультироваться негде и тем более что-то купить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Disease Опубликовано 6 мая, 2004 · Жалоба Если я правильно помню, у dlinka есть что-то, начинающееся с цифры 8 (807?), и это что-то позволяет приземлить на себя VPN. хотя это решение вряд ли можно назвать бюджетным. Теоретически, можно постоить что-то подобное на маршрутизаторах, к которым есть открытые исходники. Вроде бы подобная тема затрагивалась в форумах посвященных asus wl-500g, хотя до работающих fimware дело вроде пока не дошло. Не обязательно приземлять. В моем случае подключение идет к VPN-Server'у (на нем приземляются). DI-614+ должен создать VPN соединение и подключиться к серверу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 6 мая, 2004 · Жалоба Все заработает? Нет... не заработает... DI-614+ не может работать в качестве беспроводного клиента... в нем _только_ точка доступа... соответственно (В) не сможет подключться к (А)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RoofCat Опубликовано 6 мая, 2004 · Жалоба Не обязательно приземлять. В моем случае подключение идет к VPN-Server'у (на нем приземляются). DI-614+ должен создать VPN соединение и подключиться к серверу. Т.е. нужно просто поднять WAN соединение по PPTP через эфир - от т.B до т.A ? Тогда делаем так - берем еще одну точку доступа (например, AP900+), загоняем ее в режим wireless client и соединяем сетевым кабелем с WAN интерфейсом т.B. Единственное что меня смущает - когда ставишь 614+ в PPTP режим, у него отключается PPTP passthrough, так что сможет ли т.А пропустить туннель от т.B до VPN сервера. Стоило бы сначала собрать на столе. Только при этом будет один туннель от А до VPN сервера, один туннель от т.B до VPN сервера (полувложенный - на отрезке от A до VPN сервера), и клиентские туннели от клиентов до того же VPN сервера. А может, эфир стоит защищать другими мерами - типа направленные антенны, ограничение broadcast ssid, ограничение MAC адресов, регулярная замена wep ключей, или вообще поискать оборудование с WPA? Или у клиентов все настолько серьезно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Disease Опубликовано 6 мая, 2004 · Жалоба C этой проблемой я обратился в D-LINK предоставил им развернутую схему с подробным описанием, вот наша переписка: ============================================ Вот условная схема сети. (картинка не у всех отображается) VPN-Server раздает является роутером в интернет, на нем стоит биллинг и vpn-сервер (т.е. к нему подключаются все пользователи индивидуальными VPN +CHAP тунелями). Есть две сети = Публичная (слева) и Другая (Справа). В качестве свичей - DES-1008D, пользователи - маленькие шарики (U1, U2). Другая сеть удалена примерно на 1 км . Ставить другой сети дополнительный сервер с биллингом и прочее слишком сложно (все это хозяйство содержать). Клиенты из публичной сети (u1) через цепочку свичей подключаются индивидуальными туннелями (tun1). Клиенты из другой сети (u2) тоже подключаются индивидуальными туннерями, НО я не хочу давать другим пользователям сети - хочу чтобы они видели ТОЛЬКО сервер (возможно вложенные туннели не понадобятся, по IP разрешить доступ в файрволле DI-614+ на IP сервера). Если без файрволла то - DI-614+ (точка А) должна подлкючиться к серверу туннелем tun2 и держать соединение, тогда как клиенты другой сети (u2 ) будут устанавливать соедиение (tun3) только к серверу и видеть (из-за тунеля tun2) Только сервер. Скорость нужна маленькая = 256кбит хватит. Понятна мысль? ============================================ и ответ ============================================ ясно. теоретически должно работать в случае если 614+ внешним нтерфейсом цепляется по PPPoE или РРТР. А клиенты за беспроводным сегментом строят каналы по РРТР или IPSec. Настройки 614+ можно посмотреть здесь: http://support.dlink.com/techtool/di614+/e...or/h_wizard.htm для внешнего интерфейса закладка home->WAN, для активации проброса VPN через NAT Tools -> Misc -> VPN Pass-Through Кстати, NAT в 614+ НЕ отключается. Если честно то на практике подобную схему я не пробовал. Если есть желание протестировать оборудование в таком режиме, обратитесь к Дмитрию Быкову, он может предоставить устройства. ============================================[/img] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...