» Настройка маршрутизатора Dlink DI-804HV

Здравствуйте!
Купил значит это чудо техники Dlink DI-804HV, настроил:

0. ван-порт, туда шнур провайдера, тип - РРРТР (для поключения к Инету), статический ип, 10.2.15.99 (15 подсеть);

1. лан-хаб, dhcp раздает адреса 192.168.101.1 (101 подсеть);

2. routing, 10.2.15.0 255.255.255.0 192.168.101.1 1, соответственно работает и компы из 101 подсети без проблем пингуют компы из 15 подсети (кстати с небольшими задержками, но не об этом сейчас)

Далее, значит проблема вот какая: в локальной сети (15 подсеть) сетевые приложения не все хотят работать, в частности чат. чат работает по мультикасту и использует порты tcp/udp 50138. на д-линке пробывал в Virtual Server List добавлять правило 192.168.1.2 Both 50138 / 50138 always - не робит чат (я один в списке пользователей). на д-линке пробывал в Special Application List добавлять правило 50138 both 50138 both - не робит чат.

Принцип работы мультикаст мне от части известен, неужели д-линк не перекидывает широковещательные пакеты?

Не знаю больше куда обратиться...в любом случае - спасибо за внимание!

Нашел ответ. Сей агрегат Dlink DI-804HV не поддерживает мультикаст, т.е. как я и предпологал не перекидывает широковещательные пакеты. И прошивку врятли найду... =(
Кому интересно: Сводная таблица по д-линкам

Прошивка лежит у них на сайте, даже в меню там де прошивка есть линк
Я избавился от проблем с VPN'ом с перепрошивкой

спасибо конечно за совет, заодно прошивку последнюю скачал, но решить проблему с мультикастом можно только в одном случае - сменить роутер, на другой, с поддержкой работы по протоколу широковещательных пакетов. именно в этой модели нет такого, и в следующих прошивках этого не добавят, поскольку нет этого в тех.характеристиках агрегата.

а вот интересно...я скачаю прошивку для другого роутера, пускай с максимально похожим функционалом и поддержкой мультикаста...он будет работать? и самое интересное - если он напроч откажеться отвечать на запросы, кнопка RESET исправит ситуацию?

кто-нибудь экпериментировал? =)))

Если его прошить прошивкой для другого чипсета - он просто умрет. Восстановить его можно будет в сервисцентре\прогой для прошивки в аварийном режиме.


Если прошивка для такого-же чипсета - все будет работать. Только мне не понятно. Вы говорите, что он аппаратно не поддерживает проброс мультикаста, тогда каким обазом этому поможет смена прошивки....

Насколько я знаю конкретно эта модель поддерживает прошивку через консольный порт (кабель кажись специальный нужен).
Кнопка резет точно прошивку не вернет на старую
И скорее всего прошивку от другого устройства он просто откажется в себя запихнуть...

Чтобы не открывать новую тему спрошу тут:
1. Данный девайс (804HV) подключен в инет со стат. IP и внутренним интерфейсом 172.*.*.1
2. К нему подключен комп с Kerio WF с внешним 172.*.*.2 и внутренним 192.168.0.1 Внутренним он смотрит в сеть небольшого офиса.
3. В офисе есть машина которая по VPN должна мочь подключаться в другую удаленную сеть.
Так вот, когда я пытаюсь подключиться у меня появляется "Ошибка 619 - Указанный порт не подключен."
Я так понимаю что проблема в настройке D-Link т.к. как только я включаю DMZ для 172.*.*.2 все нормально подключается. Смотрел логи Kerio и обнаружил что при включенном DMZ там есть записи, при выключенном нет:

PERMIT "VPN" packet from Inet, proto:47, len:93, ip:*.*.*.* -> 172.*.*.2, plen:73
PERMIT "VPN" packet to LAN, proto:47, len:93, ip:*.*.*.* -> 192.168.0.7, plen:73

Проблема в том что роутер не пропускает "proto:47", т.е. GRE?
Хелп! Это можно как нибудь победить?

можеть быть правила какого-то не хватает на д-линке, которое автоматом включается при dmz...я х3

Доброе время суток.
может кто сможет помочь?

есть офиса нужно подключить IP телефонию через аппаратные VoIP шлюзы

схема такая:
провайдер IP телефонии ---> инет ---> DI804HV ---> switch ----> IP шлюз 3 шт + сеть офиса
провайдер говорит пробросить порты 1719-1720 и 5060-5070 и ещё написал 10000-65000 порты

где в D-Link DI804HV это делать в Aplications или Virtual Server ?

я сделал в Aplications так:
добавил правило 192.168.9.100 Both (privat port) 1719-1720 / both (public port) 10000-65000 always
это правильно?

У меня можно сказать тоже самое. Всё сделал по инструкции.
Могу заходить с любого компа в сети в настройки обоих маршрутизаторов, но компы в разных подсетях не пингуются
В статусе ВПН написано: IKE established

Вот такое в логах:
Friday August 05, 2011 10:21:43 IKE phase2 (IPSec SA) remove : 192.168.1.0 <-> 192.168.0.0
Friday August 05, 2011 10:21:43 inbound SPI = 0x2a00d6d5, outbound SPI = 0x6500a9d4
Friday August 05, 2011 10:21:43 Send IKE Q1(QINIT) : 192.168.1.0 --> 192.168.0.0
Friday August 05, 2011 10:21:43 Receive IKE INFO : 95.80.__.__ --> 86.110.__.__
Friday August 05, 2011 10:21:43 Receive IKE Q2(QRESP) : [192.168.0.0|95.80.__.__]-->[86.110.__.__|192.168.1.0]
Friday August 05, 2011 10:21:43 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
Friday August 05, 2011 10:21:43 Send IKE Q3(QHASH) : 192.168.1.0 --> 192.168.0.0
Friday August 05, 2011 10:21:43 IKE Phase2 (IPSEC SA) established : [192.168.0.0|95.80.__.__]<->[86.110.__.__|192.168.1.0]
Friday August 05, 2011 10:21:43 inbound SPI = 0x2b00e970, outbound SPI = 0x67006f02

Где может быть проблема?

Народ, помогите с настройкой этого 804-го...

Есть инет, напрямую тарелка стоит в сеть локальную. Есть куча народа напрямую в инет ломящегося. Есть DI-804HV.
Хочу поставить 804-й как шлюз чтобы потом все ломились в инет через прокси.

В интерфейсе WAN я все настройки тарелки прописал без проблем. Осталось настроить локалку.
Что и где прописать на D-LINK чтобы все ломились к примеру на 192.168.1.111 и порт 3128 в своих компах и попадали в инет?

Цитата:

Что и где прописать на D-LINK чтобы все ломились к примеру на 192.168.1.111 и порт 3128 в своих компах и попадали в инет?

Нигде. Эта "чудо мыльница" не имеет в своём составе прокси-сервера.

Не могёт такого быть. Оно когда-то стояло и всё работало, потом убирали и вот щяс снова надо поставить. Только настройки какие был - х.з.

Sercam
Вы разницу между понятиями "proxy" и "nat" чувствуете? Скорее всего - нет.
Оба эти технологии позволяют выпускать в инет несколько машин под одним адресом, но принципы работы у них ооооочень разные.

Значит работало через NAT... Как настроить?

Универсальное решение для вашего случая.

Спасибо, блин...

Подскажите, если забыт пароль к этому чуду техники.. Реально как-нибудь восстановить бес сброса настроек?

Доброго всем. Не подскажете? Есть собс-но сабжевый маршрутизатор, за маршрутизатором в локалке есть 4 компьютера. На каждом из этих компьютеров работает софт на определённом порту. Из вне должны приходить запросы на определённый порт (один из четырёх), маршрутизатор в зависимости от номера порта запроса, пришедшего извне, должен перенаправлять запросы на конкретную машинку. Собственно с этим проблем нет, правила создал, запросы на нужную мне машинку перенаправляются. Задача - разрешить доступ (!)не всем снаружи, а только 5-10 конкретным статическим внешним IP. В программном фаерволле, например Kerio - эта задача разруливается на раз два, добавляются нужные IP в разрешённые, а всем остальным отказано. В этой железке, как я понял (если ошибаюсь поправьте плз) есть два инструмента для таких вещей: Virtual Server и Firewall.
Virtual Server:

Firewall:

Единственное, до чего дошёл, допустим при внешних IP с которых нужно разрешить доступ, например: 22.22.22.22 и 33.33.33.33, создать правило в Firewall типа
WAN - 1.1.1.1 - 22.22.22.21 - Deny (Запретить);
+
WAN - 22.22.22.23 - 33.33.33.32 - Deny (Запретить);
+
WAN 33.33.33.34 - 255.255.255.254 - Deny (Запретить);
ну и + правила перенаправления портов, их не пишу с ними все в порядке.
В принципе работает, с нужных мне IP доступ есть, все остальные на уровне фаерволла маршрутизатора отсекаются (судя по логам маршрутизатора). Но чувствую это не совсем верно, хотя бы потому, что например если в будущем мне нужно будет добавить пару другую внешних IP - мне придётся снова менять весь диапазон (несколько правил), вместо того чтобы добавить по одному правилу для каждого нового IP. Не пинайте только сильно, если ошибаюсь.
Подскажите плз, как правильно решить данную ситуацию или она на базе данного маршрутизатора и аналогичных ему по классу (я не говорю о дорогущих маршрутизаторах с кучей функций) решить невозможно?
ps Пункт Interface в Firewall может принимать значения: "*"; *WAN*; *LAN*.
pps Роутер подключен напрямую к провайдеру, интернет поднимается в роутере, авторизация у провайдера по PPPoE, после успешной авторизации от провайдера роутер получает белый статический IP от провайдера.

UP

daledale
Во-первых подъём тем запрещён.
Во-вторых. Согласно второй картинке у вас есть правило, которое запрещает ходить всем в lan-сегмент. Поэтому вам в правилах файервола достаточно прописать внешние адреса, с которых заход разрешён.

urodliv
Спасибо за ответ.

Цитата:

Во-первых подъём тем запрещён.

сорри.

Цитата:

Во-вторых. Согласно второй картинке у вас есть правило,

это дефолтовые правила, я их явно не создавал...
Ну а вообще да, ход мыслей верный, в двух словах - всё что нужно явно разрешить, остальное - запретить.
---------
Вообщем вопрос решил. Кому интересно, подробности: здесь.

daledale
Я глянул ваше решение. Логика подсказывает, что первое ваше правило является лишним, так как оно входит в подмножество правила "Deny Default". Было бы неплохо если бы вы проверили мою мысль.
По поводу одинаковости портов - есть такая ерунда. Как раз мыльницы любят этим страдать. Но если ваше приложение может работать на другом порту, то и отлично.

urodliv
Проверил. Снова всё пропускает. Т.е. если правило DENY отсутствует или отключено, то снова с любых IP на указанный порт без проблем...
Попутно выяснил ещё одну штуку - количество правил в Firewall max можно создать всего 28. Точнее лучше этого предела не достигать*.
* - Вообщем создал 8 правил перенаправления в Virtual Server, далее начал создавать правила в Firewall. Создал 28 правил (общее количество с учётом дефолтовых и тех, которые отображаются в списке правил Firewall созданных ранее в Virtual Server), создаю 29-ое, нажимаю Apply, никаких ошибок, но краем глаза вижу что-то не то. Присмотрелся последнее правило в списке не появилось. Пересоздал его ещё раз, снова тоже самое. Также заметил, что одно из правил Virtual Server исчезло. Далее начал удалять по одному правилу, смотрю одно из правил Firewall перелезло в правила Virtual Server... Вообщем ерунда полная. ИМХО думаю максимум можно создать не более 20 правил (опять же - общее количество с учётом дефолтовых и тех, которые отображаются в списке правил Firewall созданных ранее в Virtual Server).

Цитата:

Проверил. Снова всё пропускает. Т.е. если правило DENY отсутствует или отключено, то снова с любых IP на указанный порт без проблем...

Ну делинк, ну ё-маё.

Цитата:

Попутно выяснил ещё одну штуку - количество правил в Firewall max можно создать всего 28. Точнее лучше этого предела не достигать*.

Есть одна мысль. Ограничение количества правил может касаться только веб-интерфейса, а через cli можно будет и больше забабахать. Я так с dd-wrt попал на одном своём устройстве. Если есть желание, то можете проверить и нам сообщить.

urodliv

Цитата:

Ну делинк, ну ё-маё.

Ага и дополню...ошибки тут быть не может. На стороне с которой подключался к 804-му, при каждом реконнекте провайдер предоставляет разные внешние IP... Создал правило, вписал текущий IP, проверил с текущим - работает. Делаю реконнект, проверяю что белый IP сменился. Захожу на железку не меняя правил - пускает(((. Проверил около 3-х раз, ошибки тут нет.

Цитата:

Есть одна мысль. Ограничение количества правил может касаться только веб-интерфейса, а через cli можно будет и больше забабахать.

Очень даже может быть, но увы, железка уже не у меня. Время поджимало + там, где сейчас стоит железка, доступ есть, но проблематичен, поэтому нужно было было максимально рабочее решение (это ключевая фраза, т.е. нет возможности бегать и перенастраивать). Собственно сделал что - интернет поднимается на железке, далее 8 правил проброса портов (в Virtual Server) и только их. Правила Firewall не трогал и не создавал, а дальше на подмогу пришёл программный фаервол, где я разрешил доступ только нужным мне внешним IP (около 10 шт). Вообщем так.
-------------
Вообщем сейчас уже все работает в связке 804-ый (перенаправляет порты)+программный фаервол (фильтрует IP), своей цели достигнул.
urodliv спасибо.
pps Забыл написать прошивку - как сейчас помню, Firmware на железке 1.53RU