Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка маршрутизатора Dlink DI-804HV

Автор: m0nstradamus
Дата сообщения: 13.08.2008 09:02
Здравствуйте!
Купил значит это чудо техники Dlink DI-804HV, настроил:

0. ван-порт, туда шнур провайдера, тип - РРРТР (для поключения к Инету), статический ип, 10.2.15.99 (15 подсеть);

1. лан-хаб, dhcp раздает адреса 192.168.101.1 (101 подсеть);

2. routing, 10.2.15.0 255.255.255.0 192.168.101.1 1, соответственно работает и компы из 101 подсети без проблем пингуют компы из 15 подсети (кстати с небольшими задержками, но не об этом сейчас)

Далее, значит проблема вот какая: в локальной сети (15 подсеть) сетевые приложения не все хотят работать, в частности чат. чат работает по мультикасту и использует порты tcp/udp 50138. на д-линке пробывал в Virtual Server List добавлять правило 192.168.1.2 Both 50138 / 50138 always - не робит чат (я один в списке пользователей). на д-линке пробывал в Special Application List добавлять правило 50138 both 50138 both - не робит чат.

Принцип работы мультикаст мне от части известен, неужели д-линк не перекидывает широковещательные пакеты?

Не знаю больше куда обратиться...в любом случае - спасибо за внимание!

Автор: m0nstradamus
Дата сообщения: 16.08.2008 10:26
Нашел ответ. Сей агрегат Dlink DI-804HV не поддерживает мультикаст, т.е. как я и предпологал не перекидывает широковещательные пакеты. И прошивку врятли найду... =(
Кому интересно: Сводная таблица по д-линкам
Автор: Demi1983
Дата сообщения: 18.08.2008 10:38
Прошивка лежит у них на сайте, даже в меню там де прошивка есть линк
Я избавился от проблем с VPN'ом с перепрошивкой
Автор: m0nstradamus
Дата сообщения: 18.08.2008 11:59
спасибо конечно за совет, заодно прошивку последнюю скачал, но решить проблему с мультикастом можно только в одном случае - сменить роутер, на другой, с поддержкой работы по протоколу широковещательных пакетов. именно в этой модели нет такого, и в следующих прошивках этого не добавят, поскольку нет этого в тех.характеристиках агрегата.

а вот интересно...я скачаю прошивку для другого роутера, пускай с максимально похожим функционалом и поддержкой мультикаста...он будет работать? и самое интересное - если он напроч откажеться отвечать на запросы, кнопка RESET исправит ситуацию?

кто-нибудь экпериментировал? =)))
Автор: Xob
Дата сообщения: 18.08.2008 13:13
Если его прошить прошивкой для другого чипсета - он просто умрет. Восстановить его можно будет в сервисцентре\прогой для прошивки в аварийном режиме.


Если прошивка для такого-же чипсета - все будет работать. Только мне не понятно. Вы говорите, что он аппаратно не поддерживает проброс мультикаста, тогда каким обазом этому поможет смена прошивки....
Автор: tippmann
Дата сообщения: 18.08.2008 14:37
Насколько я знаю конкретно эта модель поддерживает прошивку через консольный порт (кабель кажись специальный нужен).
Кнопка резет точно прошивку не вернет на старую
И скорее всего прошивку от другого устройства он просто откажется в себя запихнуть...
Автор: Biblbrox
Дата сообщения: 02.10.2008 16:11
Чтобы не открывать новую тему спрошу тут:
1. Данный девайс (804HV) подключен в инет со стат. IP и внутренним интерфейсом 172.*.*.1
2. К нему подключен комп с Kerio WF с внешним 172.*.*.2 и внутренним 192.168.0.1 Внутренним он смотрит в сеть небольшого офиса.
3. В офисе есть машина которая по VPN должна мочь подключаться в другую удаленную сеть.
Так вот, когда я пытаюсь подключиться у меня появляется "Ошибка 619 - Указанный порт не подключен."
Я так понимаю что проблема в настройке D-Link т.к. как только я включаю DMZ для 172.*.*.2 все нормально подключается. Смотрел логи Kerio и обнаружил что при включенном DMZ там есть записи, при выключенном нет:

PERMIT "VPN" packet from Inet, proto:47, len:93, ip:*.*.*.* -> 172.*.*.2, plen:73
PERMIT "VPN" packet to LAN, proto:47, len:93, ip:*.*.*.* -> 192.168.0.7, plen:73

Проблема в том что роутер не пропускает "proto:47", т.е. GRE?
Хелп! Это можно как нибудь победить?
Автор: m0nstradamus
Дата сообщения: 14.10.2008 16:26
можеть быть правила какого-то не хватает на д-линке, которое автоматом включается при dmz...я х3
Автор: GunMEN XOMKuH
Дата сообщения: 12.09.2009 23:55
Доброе время суток.
может кто сможет помочь?

есть офиса нужно подключить IP телефонию через аппаратные VoIP шлюзы

схема такая:
провайдер IP телефонии ---> инет ---> DI804HV ---> switch ----> IP шлюз 3 шт + сеть офиса
провайдер говорит пробросить порты 1719-1720 и 5060-5070 и ещё написал 10000-65000 порты

где в D-Link DI804HV это делать в Aplications или Virtual Server ?

я сделал в Aplications так:
добавил правило 192.168.9.100 Both (privat port) 1719-1720 / both (public port) 10000-65000 always
это правильно?
Автор: svkuban
Дата сообщения: 05.08.2011 11:07
У меня можно сказать тоже самое. Всё сделал по инструкции.
Могу заходить с любого компа в сети в настройки обоих маршрутизаторов, но компы в разных подсетях не пингуются
В статусе ВПН написано: IKE established

Вот такое в логах:
Friday August 05, 2011 10:21:43 IKE phase2 (IPSec SA) remove : 192.168.1.0 <-> 192.168.0.0
Friday August 05, 2011 10:21:43 inbound SPI = 0x2a00d6d5, outbound SPI = 0x6500a9d4
Friday August 05, 2011 10:21:43 Send IKE Q1(QINIT) : 192.168.1.0 --> 192.168.0.0
Friday August 05, 2011 10:21:43 Receive IKE INFO : 95.80.__.__ --> 86.110.__.__
Friday August 05, 2011 10:21:43 Receive IKE Q2(QRESP) : [192.168.0.0|95.80.__.__]-->[86.110.__.__|192.168.1.0]
Friday August 05, 2011 10:21:43 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
Friday August 05, 2011 10:21:43 Send IKE Q3(QHASH) : 192.168.1.0 --> 192.168.0.0
Friday August 05, 2011 10:21:43 IKE Phase2 (IPSEC SA) established : [192.168.0.0|95.80.__.__]<->[86.110.__.__|192.168.1.0]
Friday August 05, 2011 10:21:43 inbound SPI = 0x2b00e970, outbound SPI = 0x67006f02

Где может быть проблема?
Автор: Sercam
Дата сообщения: 27.09.2011 14:29
Народ, помогите с настройкой этого 804-го...

Есть инет, напрямую тарелка стоит в сеть локальную. Есть куча народа напрямую в инет ломящегося. Есть DI-804HV.
Хочу поставить 804-й как шлюз чтобы потом все ломились в инет через прокси.

В интерфейсе WAN я все настройки тарелки прописал без проблем. Осталось настроить локалку.
Что и где прописать на D-LINK чтобы все ломились к примеру на 192.168.1.111 и порт 3128 в своих компах и попадали в инет?
Автор: urodliv
Дата сообщения: 27.09.2011 14:53

Цитата:
Что и где прописать на D-LINK чтобы все ломились к примеру на 192.168.1.111 и порт 3128 в своих компах и попадали в инет?

Нигде. Эта "чудо мыльница" не имеет в своём составе прокси-сервера.
Автор: Sercam
Дата сообщения: 27.09.2011 15:01
Не могёт такого быть. Оно когда-то стояло и всё работало, потом убирали и вот щяс снова надо поставить. Только настройки какие был - х.з.
Автор: urodliv
Дата сообщения: 27.09.2011 15:10
Sercam
Вы разницу между понятиями "proxy" и "nat" чувствуете? Скорее всего - нет.
Оба эти технологии позволяют выпускать в инет несколько машин под одним адресом, но принципы работы у них ооооочень разные.
Автор: Sercam
Дата сообщения: 27.09.2011 15:45
Значит работало через NAT... Как настроить?
Автор: urodliv
Дата сообщения: 27.09.2011 15:52
Универсальное решение для вашего случая.
Автор: Sercam
Дата сообщения: 28.09.2011 07:53
Спасибо, блин...
Автор: vasya00
Дата сообщения: 01.06.2012 17:40
Подскажите, если забыт пароль к этому чуду техники.. Реально как-нибудь восстановить бес сброса настроек?
Автор: daledale
Дата сообщения: 24.10.2012 09:37
Доброго всем. Не подскажете? Есть собс-но сабжевый маршрутизатор, за маршрутизатором в локалке есть 4 компьютера. На каждом из этих компьютеров работает софт на определённом порту. Из вне должны приходить запросы на определённый порт (один из четырёх), маршрутизатор в зависимости от номера порта запроса, пришедшего извне, должен перенаправлять запросы на конкретную машинку. Собственно с этим проблем нет, правила создал, запросы на нужную мне машинку перенаправляются. Задача - разрешить доступ (!)не всем снаружи, а только 5-10 конкретным статическим внешним IP. В программном фаерволле, например Kerio - эта задача разруливается на раз два, добавляются нужные IP в разрешённые, а всем остальным отказано. В этой железке, как я понял (если ошибаюсь поправьте плз) есть два инструмента для таких вещей: Virtual Server и Firewall.
Virtual Server:

Firewall:

Единственное, до чего дошёл, допустим при внешних IP с которых нужно разрешить доступ, например: 22.22.22.22 и 33.33.33.33, создать правило в Firewall типа
WAN - 1.1.1.1 - 22.22.22.21 - Deny (Запретить);
+
WAN - 22.22.22.23 - 33.33.33.32 - Deny (Запретить);
+
WAN 33.33.33.34 - 255.255.255.254 - Deny (Запретить);
ну и + правила перенаправления портов, их не пишу с ними все в порядке.
В принципе работает, с нужных мне IP доступ есть, все остальные на уровне фаерволла маршрутизатора отсекаются (судя по логам маршрутизатора). Но чувствую это не совсем верно, хотя бы потому, что например если в будущем мне нужно будет добавить пару другую внешних IP - мне придётся снова менять весь диапазон (несколько правил), вместо того чтобы добавить по одному правилу для каждого нового IP. Не пинайте только сильно, если ошибаюсь.
Подскажите плз, как правильно решить данную ситуацию или она на базе данного маршрутизатора и аналогичных ему по классу (я не говорю о дорогущих маршрутизаторах с кучей функций) решить невозможно?
ps Пункт Interface в Firewall может принимать значения: "*"; *WAN*; *LAN*.
pps Роутер подключен напрямую к провайдеру, интернет поднимается в роутере, авторизация у провайдера по PPPoE, после успешной авторизации от провайдера роутер получает белый статический IP от провайдера.
Автор: daledale
Дата сообщения: 26.10.2012 19:24
UP
Автор: urodliv
Дата сообщения: 26.10.2012 19:44
daledale
Во-первых подъём тем запрещён.
Во-вторых. Согласно второй картинке у вас есть правило, которое запрещает ходить всем в lan-сегмент. Поэтому вам в правилах файервола достаточно прописать внешние адреса, с которых заход разрешён.
Автор: daledale
Дата сообщения: 27.10.2012 00:21
urodliv
Спасибо за ответ.

Цитата:
Во-первых подъём тем запрещён.

сорри.

Цитата:
Во-вторых. Согласно второй картинке у вас есть правило,

это дефолтовые правила, я их явно не создавал...
Ну а вообще да, ход мыслей верный, в двух словах - всё что нужно явно разрешить, остальное - запретить.
---------
Вообщем вопрос решил. Кому интересно, подробности: здесь.
Автор: urodliv
Дата сообщения: 27.10.2012 12:53
daledale
Я глянул ваше решение. Логика подсказывает, что первое ваше правило является лишним, так как оно входит в подмножество правила "Deny Default". Было бы неплохо если бы вы проверили мою мысль.
По поводу одинаковости портов - есть такая ерунда. Как раз мыльницы любят этим страдать. Но если ваше приложение может работать на другом порту, то и отлично.
Автор: daledale
Дата сообщения: 28.10.2012 00:01
urodliv
Проверил. Снова всё пропускает. Т.е. если правило DENY отсутствует или отключено, то снова с любых IP на указанный порт без проблем...
Попутно выяснил ещё одну штуку - количество правил в Firewall max можно создать всего 28. Точнее лучше этого предела не достигать*.
* - Вообщем создал 8 правил перенаправления в Virtual Server, далее начал создавать правила в Firewall. Создал 28 правил (общее количество с учётом дефолтовых и тех, которые отображаются в списке правил Firewall созданных ранее в Virtual Server), создаю 29-ое, нажимаю Apply, никаких ошибок, но краем глаза вижу что-то не то. Присмотрелся последнее правило в списке не появилось. Пересоздал его ещё раз, снова тоже самое. Также заметил, что одно из правил Virtual Server исчезло. Далее начал удалять по одному правилу, смотрю одно из правил Firewall перелезло в правила Virtual Server... Вообщем ерунда полная. ИМХО думаю максимум можно создать не более 20 правил (опять же - общее количество с учётом дефолтовых и тех, которые отображаются в списке правил Firewall созданных ранее в Virtual Server).
Автор: urodliv
Дата сообщения: 28.10.2012 11:39

Цитата:
Проверил. Снова всё пропускает. Т.е. если правило DENY отсутствует или отключено, то снова с любых IP на указанный порт без проблем...

Ну делинк, ну ё-маё.

Цитата:
Попутно выяснил ещё одну штуку - количество правил в Firewall max можно создать всего 28. Точнее лучше этого предела не достигать*.

Есть одна мысль. Ограничение количества правил может касаться только веб-интерфейса, а через cli можно будет и больше забабахать. Я так с dd-wrt попал на одном своём устройстве. Если есть желание, то можете проверить и нам сообщить.
Автор: daledale
Дата сообщения: 28.10.2012 20:23
urodliv

Цитата:
Ну делинк, ну ё-маё.

Ага и дополню...ошибки тут быть не может. На стороне с которой подключался к 804-му, при каждом реконнекте провайдер предоставляет разные внешние IP... Создал правило, вписал текущий IP, проверил с текущим - работает. Делаю реконнект, проверяю что белый IP сменился. Захожу на железку не меняя правил - пускает(((. Проверил около 3-х раз, ошибки тут нет.

Цитата:
Есть одна мысль. Ограничение количества правил может касаться только веб-интерфейса, а через cli можно будет и больше забабахать.

Очень даже может быть, но увы, железка уже не у меня. Время поджимало + там, где сейчас стоит железка, доступ есть, но проблематичен, поэтому нужно было было максимально рабочее решение (это ключевая фраза, т.е. нет возможности бегать и перенастраивать). Собственно сделал что - интернет поднимается на железке, далее 8 правил проброса портов (в Virtual Server) и только их. Правила Firewall не трогал и не создавал, а дальше на подмогу пришёл программный фаервол, где я разрешил доступ только нужным мне внешним IP (около 10 шт). Вообщем так.
-------------
Вообщем сейчас уже все работает в связке 804-ый (перенаправляет порты)+программный фаервол (фильтрует IP), своей цели достигнул.
urodliv спасибо.
pps Забыл написать прошивку - как сейчас помню, Firmware на железке 1.53RU

Страницы: 1

Предыдущая тема: Сбои в работе сетевого принтера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.