» Соединить два офиса через VPN

Доброго времени суток!!!

Скажу сразу, сетку настраиваю первый раз!

В общем ситуация такая:

Есть два офиса, подключены через ADSL и VPN Router D-Link 804HV
Сервер (он же прокси) стоит в одном офисе, во втором его нет.
Из 2-го офиса пингуется и видится только прокси (т.е. VPN настроен и работает), внутренняя сеть первого офиса не видится.
Из первого офиса сеть второго офиса тоже не видится, хотя прокси пингует все машины 2-го офиса.

На прокси стоит кул прокси, оутпост файрвол.

Необходимо чтобы обе сетки видели друг-друга, и интернет шел через прокси первого офиса (будет стоять тарелка).

IP 1-го:
Proxy 192.168.1.225 (Windows 2000)
Локальные адреса 192.168.1.XXX
Маска 255.255.255.0
Все локальные машины подключены к прокси (шлюз).

2-го:
Локальные адреса 192.168.2.XXX
Маска 255.255.255.0
Все локальные машины подключены напрямую к VPN.
Требуются практические решения этой задачи.

ЗАРАНЕЕ БЛАГОДАРЮ!

Могу посоветовать почитать http://dlink.ru/technical/faq_vpn_8.php. Всё подробно описано. Если останутся вопросы - пиши.

Вимательно прочитано.
Связь между VPN есть.
нет связи между подсетями (см. выше)
т.е. все компы пингуют прокси, а сквозб прокси на другую подсеть пройти не могут!

xn0bys
Точку в конце ссылки не надо копировать

Andy

это понятно....
поторопился просто

xn0bys
Тогда давай логи 804-ых, traceoute, и желательно пару дампов пакетов.

Route print на прокси:


Код:
0.0.0.0 0.0.0.0 192.168.1.2 192.168.1.225 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.225 192.168.1.225 1
192.168.1.225 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.255 255.255.255.255 192.168.1.225 192.168.1.225 1
192.168.238.0 255.255.255.0 192.168.238.238 192.168.238.238 1
192.168.238.238 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.238.255 255.255.255.255 192.168.238.238 192.168.238.238 1
224.0.0.0 224.0.0.0 192.168.1.225 192.168.1.225 1
224.0.0.0 224.0.0.0 192.168.238.238 192.168.238.238 1
255.255.255.255 255.255.255.255 192.168.1.225 192.168.1.225 1
осн. шлюз: 192.168.1.2

Что за хост 192.168.1.2? Что за сеть 192.168.238.0? Адреса Dlink'ов, ну и логи с них (см. окно Status).

Цитата:

Из первого офиса сеть второго офиса тоже не видится, хотя прокси пингует все машины 2-го офиса.

ИМХО, это ключевой момент, от которого необходимо отталкиваться
почему-то мне кажется что прокси, о котором идет речь является только прокси и не более, когда он ко всему еще должен быть и маршрутизатором
как мне кажется, достаточно просто сконфигурировать на "прокси" RRAS на маршрутизацию

#############
# 2-я сеть #
#############
|
router
|
ADSL
|
#############
# Internet #
#############
|
ADSL
____|____
| |
router proxy
| |
#############
# 1-я сеть #
#############

А лучше всего немного перестроить схему построения сети, как изображено на рисунке В таком случае достаточно будет уже настроенного VPN. Сети будут видеть друг друга и даже использовать один прокси-сервер

ой, прошу прощения, я совсем забыл, что реальника всего 2
тогда предлагаю не ставить между VPN-шлюзом и 1-й сетью прокси сервер с файрволом. Его присутсвие в принципе не нужно... судя по документации маршрутизаторов, они и так отлично могут защитить сеть и предоставлять клиентам NAT.

Единственный случай, когда присутствие этого сервера считаю необходимым, ИМХО когда необходимо вести подсчет трафика пользователей. В таком случае, просто нужно прокси сервер внести в сеть наряду с рабочими станциями и в Интернет разрешить ходить только прокси серверу (на маршрутизаторе). Но в таком случае вы сможете считать только Web-траффик, а точнее тот который не требует NAT. Протоколы POP, SMTP, rdp и прочие к сожалению в таком случае подсчитать не получится

В угагдайку играть будем? Давайте лучше подождем от автора темы описания сети, а потом вместе подумаем.
PS Маршрутизаторы, как я понял, используются для соединения офисов, и никак не предоставления доступа в интернет. Кроме того подобные решения для защиты сети и не предназначены. Посмотрите линейку оборудования Dlink.
Кроме того есть ещё вариант, обратиться в представительство Dlink в вашем регионе, там вам настроят оборудование. Или заново настроить пользуясь инструкциями с сайта. Т.к. Dlink вещь специфическая и порядок действий имеет большое значение.

Цитата:

Кроме того подобные решения для защиты сети и не предназначены.

Цитата из краткой технической характеристики устройства

Цитата:

Сетевая безопасность локальной сети бизнес-класса
DI-804HV обеспечивает защиту межсетевым экраном при помощи проверки состояния пакета SPI, ведет протокол попыток хакерских атак типа отказ в обслуживании - DoS, а также работает в режиме VPN pass-through для повышения уровня безопасности. SPI проверяет заголовки всех входящих пакетов прежде чем разрешить прохождение пакета. DI-804HV позволяет перенаправлять запросы к определенным портам, а также разделять совместный доступ к FTP, Web, многопользовательским игровым серверам с одного IP-адреса. В то же время серверы и рабочие станции локальной сети остаются защищенными от хакеров.

Этого не хватает как минимум для элементарной защиты?
1.
Цитата:

Есть два офиса, подключены через ADSL и VPN Router D-Link 804HV Сервер (он же прокси) стоит в одном офисе, во втором его нет.

Это, надо полагать, говорит о том, что так называемый сервер, а точнее, сервер с прокси, но без NAT или как минимум маршрутизации
2.
Цитата:

Из 2-го офиса пингуется и видится только прокси (т.е. VPN настроен и работает), внутренняя сеть первого офиса не видится.

Это говорит, о том что в п.1 мы предположили верно
3.
Цитата:

Из первого офиса сеть второго офиса тоже не видится, хотя прокси пингует все машины 2-го офиса.

Это еще раз говорит, о том что в п.1 мы предположили верно

Наличие прокси сервера, ИМХО отнюдь не значит его обязательного присутствия после появления железок, которые могут вполне заменить его при определенных обстоятельствах


Цитата:

Т.к. Dlink вещь специфическая и порядок действий имеет большое значение.

никогда не встречал дивайсов проще... может ты спутал с Cisco?

Собственно, раз уж на то пошло...
1)Прокси серверу NAT и не нужен. Как собственно и маршрутизация. Это следует из определения прокси.
2)Непонятна структура сети. Как подключен прокси? Как VPN-шлюзы? Гадать можно долго, после чего окажется, что автор просто что-то недописал, или мы чего-то недопоняли.
3)Насчет простоты Dlink, это конечно так, с одним большим НО. Например, многие функции, необходимые для корректной работы устройства, доступны только через командную строку, хотя в руководстве описывается настройка через web-интерфейс. Порядок действий при настройке имеет значение. Причем не всегда очевидна последовательность действий. Ообенно это заметно при настройке оборудования VoIP.
4)Насчет защиты с помощью подобных железок... Вы сами-то свою сеть, даже небольшую, доверили бы подобной железке? Я нет!
5) Enver, всё дело в том, что логика твоих рассуждений, строиться на предположении, что офисы связаны через Интернет. А об этом нигде не сказано. Через ADSL можно свзать офисы и посредством MPLS, например. Собственно, я в свое время именно, такую сеть и собирал, но функционал 804-ых не устроил.
6) Давайте подождем автора.

Доброго времени суток!
Спасибо что отозвались на просьбу.

У нас немного изменилась сеть.
описываю.
#################
# office 1 #
# 192.168.1.xxx #
#################
#
#################
# HUB #
#################
#
################################# ###################
# Server: Traffic inspector #### #
# 1st Lan # 2nd Lan # # DVB Card #
# 192.168.1.225 # 192.168.1.226 # # 192.168.238.238 #
################################# ###################
#
####################
# D-Link 804HV #
# LAN: 192.168.1.2 #
# WAN: X.X.X.X #
####################
#
#################
# ADSL #
# Bridge #
#################
#
#################
# INTERNET #
#################
#
#################
# ADSL #
# Bridge #
#################
#
####################
# D-Link 804HV #
# LAN: 192.168.2.2 #
# WAN: Y.Y.Y.Y #
####################
#
#################
# office 2 #
# 192.168.2.xxx #
#################


На прокси стоит трафик инспектор,
Маршрутизацию не настраивал.

Мысль такая:
Инет НЕ весь через тарелку, по фильтрам разрулим.
подсчёт трафа обязателен.
все компы в инет только через проксю.

Если VPN работает, то...
1) На прокси должна быть прописана маршрутизация одним из двух способов:
a)шлюз по умолчанию 192.168.1.2
б)route add 192.168.2.0 mask 255.255.255.0 192.168.1.2 -p
2) Для компов во второй подсети шлюз по умолчанию в сетевых настройках должен быть 192.168.2.2

The Bug
Не помогло.

На схеме перепутаны сетки (225 и 226)
нужно читать так:
#
################################# ###################
# Server: Traffic inspector #### #
# 2st Lan # 1nd Lan # # DVB Card #
# 192.168.1.226 # 192.168.1.225 # # 192.168.238.238 #
################################# ###################
#

с 1-й сетки пинг идёт до второй (все компы)
со 2-й сетки пинг идёт до 192.168.1.226 (это 2nd Lan)

почему-то нет связи именно на сервере между .1.225 и .1.226, причём в одну сторону....

настройки 1st Lan:
ip: 192.168.1.225
gw: ---
dns: ---

настройки 2nd Lan:
ip: 192.168.1.226
gw: 192.168.1.2
dns: xxx.xxx.xx.168

Цитата:

с 1-й сетки пинг идёт до второй (все компы)

ты уверен что это реализуется средствами маршрутизации а не NAT?

Цитата:

почему-то нет связи именно на сервере между .1.225 и .1.226, причём в одну сторону....

почему-то мне кажется, что нужно покрутить RRAS на проксе... и проверь, в Traffic Inspector разрешен трафик между рассматриваемыми сетями?

Добавлено:
и почитай вот это

enver

Цитата:

ты уверен что это реализуется средствами маршрутизации а не NAT?

нет, не уверен, но NAT поднят:
WAN: 192.168.1.226 - общий интерфейс подключен к Интернет
LAN: 192.168.1.225 - частный инт.


Цитата:

Traffic Inspector разрешен трафик между рассматриваемыми сетями?

А там такое есть? Вроде нету...

в RRAS добавлен стат маршрут:
192.168.2.0 mask 255.255.255.0 192.168.1.2 (интерфейс 192.168.1.226)

с этой строкой видится вторая сеть из первой.

Народ, помогите, всю голову сломал.

Так до сих пор vpn только в одну сторону.
т.е. со второй сети пинг идёт до 192.168.1.226, дальше затык.

что-то нужно сделать именно на серваке (т.е. сделать какую-то дыру чтобы пропускал с одной сетевухи на другую..., обе стоят в сервере), а что ??????

Код:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Proxy
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : широковещательный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-15-F2-EB-A9-FF
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.225
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

WAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 00-13-46-EC-EE-C7
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.226
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.2
DNS-серверы . . . . . . . . . . . : xxx.xx.xxx.xx
xxx.xx.xxx.xx

DVB - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TechniSat DVB-PC TV Star PCI
Физический адрес. . . . . . . . . : 00-D0-D7-11-EA-04
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.238.238
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :


IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 15 f2 eb a9 ff ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - TI capture/filter/sheduler
0x3 ...00 13 46 ec ee c7 ...... D-Link DFE-520TX PCI Fast Ethernet Adapter - TI capture/filter/sheduler
0x4 ...00 d0 d7 11 ea 04 ...... TechniSat DVB-PC TV Star PCI - TI capture/filter/sheduler
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.2 192.168.1.226 1
0.128.0.0 255.240.0.0 192.168.1.2 192.168.1.225 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.225 192.168.1.225 1
192.168.1.0 255.255.255.0 192.168.1.226 192.168.1.226 1
192.168.1.225 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.226 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.255 255.255.255.255 192.168.1.225 192.168.1.225 1
192.168.1.255 255.255.255.255 192.168.1.226 192.168.1.226 1
192.168.2.0 255.255.255.0 192.168.1.2 192.168.1.226 1
192.168.238.0 255.255.255.0 192.168.238.238 192.168.238.238 20
192.168.238.238 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.238.255 255.255.255.255 192.168.238.238 192.168.238.238 20
224.0.0.0 240.0.0.0 192.168.1.225 192.168.1.225 1
224.0.0.0 240.0.0.0 192.168.1.226 192.168.1.226 1
224.0.0.0 240.0.0.0 192.168.238.238 192.168.238.238 20
255.255.255.255 255.255.255.255 192.168.1.225 192.168.1.225 1
255.255.255.255 255.255.255.255 192.168.1.226 192.168.1.226 1
255.255.255.255 255.255.255.255 192.168.238.238 192.168.238.238 1
Основной шлюз: 192.168.1.2
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.2.0 255.255.255.0 192.168.1.2 1

xn0bys
а на VPN-маршрутизаторе есть возможность прописать маршруты?

enver
На D-Link 804HV есть встроенный router.

Вот оно:




что здесь прописать нужно, и на каком из них (на сетке №1 и/или на сетке №2).

Вот это нам и нужно
В первой сети на роутере нужно добавить следующее:

Destination: 192.168.1.0
Subnet Mask: 255.255.255.0
Gateway: <внешний адрес прокси(роутера)>
Насчет хопа не уверен, попробуй поставить 1 или 2

и еще... чтобы быть уверенным что на роутере все в порядке в случае неудачи, проверь маршрутизирует ли вовнутрь пакеты твой прокси(роутер) следующим образом:
1. Подключи к внешнему интерфейсу прокси(роутера) рабочую станцию
2. Назначь ей внутренний IP-адрес VPN-роутера
3. Пропингуй тачки в сети №1

Если пинг нормально пройдет, то копать надо в VPN-роутере, а если пинг не идет, то будем ковырять маршрутизацию на прокси(роутере)

Во второй сети проверь чтобы в качестве удаленного сегмента была прописана не внешняя сеть прокси(роутера), а 192.168.1.0/255.255.255.0

Вроде все...
Если работать не будет, пиши. Будем разбираться

Я тут невнимательно посмотрел...У тебя Dlink к прокси подключен напрямую? Без swith'a -hab'a?

The_Bug
это еще не поздно сделать, достаточно посмотреть пост на предыдущей странице

Да я смотрел... Просто решил уточнить...
Просто очень нелогичное решение

The_Bug

Цитата:

У тебя Dlink к прокси подключен напрямую? Без swith'a -hab'a?

да.


Цитата:

Просто очень нелогичное решение

Почему не логичное?
ради безопасности... типа...

Цитата:

Просто очень нелогичное решение

все очень логично при том условии, что у человека только один реальный адрес и надо считать траффик для зверей (трафик весь и по NAT, и по прокси)

В общем ничего не вышло!

Ничего логичного. Безопасности тут кот наплакал, а проблем море.
Enver, причем тут один реальный адрес??? Ты по-моему не очень понимаешь, что такое прокси. Без обид. Это насчет фразы и по NAT и по прокси.
Далее.
xn0bys, подключи Dlink к HUB'у в первой сети. После этого проверь работу. Если все заработает, то можешь оставить и так. Если же тебя чем-то не устраивает безопасность такого подключения, то пиши что именно стоит на проксе, и как настроено.

The_Bug

Подключил так:


Код:
################# ################# ###################
# office 1 # # ПРОКСИ: #### DVB Card #
# 192.168.1.xxx # # Traffic # # 192.168.238.238 #
################# # inspector # ###################
# #################
################# # #
# ###### #
# #192.168.1.225 #
# HUB # #
# # #
# #################
#################192.168.1.226
#
####################
# D-Link 804HV #
# LAN: 192.168.1.2 #
# WAN: X.X.X.X #
####################
#
#################
# ADSL #
# Bridge #
#################
#
#################
# INTERNET #
#################
#
#################
# ADSL #
# Bridge #
#################
#
####################
# D-Link 804HV #
# LAN: 192.168.2.2 #
# WAN: Y.Y.Y.Y #
####################
#
#################
# office 2 #
# 192.168.2.xxx #
#################