Пример дешевого объединения офисов

Декабрь 6, 2011 · Posted in Без рубрики 

Захотелось клиенту объединить телефонной (прежде всего)  связью все офисы

Есть центральный офис и два удаленных. На центральном офисе стоит гибридная АТС, что позволяет использовать ip-телефонию. Осталось только объединить офисы.
Вначале было предложено решение в виде ZyWall USG 100 в центре и USG 20 в удаленных. Однако заказчик посчитал это решение дорогим и решил действовать самостоятельно, купив Cisco RV082 для центра и еще один, совершенно домашний роутер для удаленного офиса.

Как оказалось (что логично), домашний роутер не умеет ipsec vpn, поэтому ему был предложен вариант с D-Link DSR-500 в качестве удаленных шлюзов.

Собственно, получилась такая картина:

Телефония работает, пакеты ходят.

На DSR`ах используется динамический ip-адрес, поэтому использовали dlinkddns. Прошивки, само собой, использовались WW, поскольку RU представляют собой кусок несчастья.

Comments

24 Responses to “Пример дешевого объединения офисов”

  1. Дядя Фёдор on Декабрь 12th, 2011 10:11

    А не подскажите ли, коллега, нормально ли прошился DSR-500 через WW прошивку? Просто на иностранных сайтах есть только для 500N, а я имел несчастье купить 500 просто. И еще вопросик, после прошивки слетели ли настройки на default? А то на форумах пишут, что есть прошивка WW после которой настройки сохраняются, а после нее уже можно любую WW ставить.

    Заранее спасибо

    Reply

  2. Андрей Босонченко on Декабрь 12th, 2011 10:26

    Здравствуйте.

    Прошивка 500 и 500N абсолютно идентичная. У меня тоже обычные 500-ки.
    Прошивка, конечно же, нормально не встала. Только со второго раза. Причины не ясны.

    На счет настроек не скажу, поскольку перед прошивкой всегда сбрасываю в дефолты. Чтобы меньше острых камней возникало.

    Reply

  3. Дядя Фёдор on Декабрь 12th, 2011 10:38

    Спасибо огромное за ответ. Просто 500 стоит в Удаленном (с большой буквы) месте через спутник. И его настраивать ОООчень тяжело удаленно. Вот я и перестраховываюсь, Так как если слетят настройки, даже не знаю что делать, придется по телефону бухгалтеру объяснять, как настроить wan и remote management — словом и смех и грех.
    Ну как говориться, кто не рискует, тот не пьет. Пойду пробовать.

    Reply

  4. Евгений on Декабрь 30th, 2011 08:26

    Можешь описать немного как вязались cisco и dsr-ы, подобная конфигурация у меня, только cisco 871-k9 , ни в какую не линкуются..

    Reply

  5. Андрей Босонченко on Декабрь 30th, 2011 17:04

    Вот страница настроек DSR-a: http://andboson.net/jim/images/dsr500cfg.jpg

    А что логи говорят? Первая фаза IKE проходит?

    ЗЫ: Ну и, это нужно упомянуть, мы таки отказались от циски. Потому что туннели отваливались по несколько раз в сутки. Как только ее заменили на DSR-500 — все заработало стабильно.

    Reply

  6. Евгений on Январь 18th, 2012 09:48

    Из ошибок только это, не могу найти в чем причина:
    Wed Jan 18 07:39:24 2012 (GMT +0000): [DSR-500] [IKE] ERROR: Phase 2 negotiation failed due to time up. 331fbc4dc6323bb8:462d41177496bc1e:dbd30de0
    Wed Jan 18 07:39:14 2012 (GMT +0000): [DSR-500] [IKE] ERROR: Unknown notify message from 94.73.xx.xx[500].No phase2 handle found.
    Wed Jan 18 07:38:24 2012 (GMT +0000): [DSR-500] [IKE] ERROR: Unknown notify message from 94.73.xx.xx[500].No phase2 handle found.
    Wed Jan 18 07:38:24 2012 (GMT +0000): [DSR-500] [IKE] INFO: Initiating new phase 2 negotiation: 94.73.хх.хх[0]94.73.хх.хх[0]
    Wed Jan 18 07:38:24 2012 (GMT +0000): [DSR-500] [IKE] INFO: Configuration found for 94.73.хх.хх.
    Видимо прошивки разные у нас, у меня в phase2 в Integrity Algorithm нельзя ничего выбрать, стоит NONE.

    Reply

  7. Евгений on Январь 18th, 2012 10:08

    Думается может правил фаервола не хватает на dsr-500…

    Reply

  8. Андрей Босонченко on Январь 18th, 2012 10:30

    >у меня в phase2 в Integrity Algorithm нельзя ничего выбрать, стоит NONE.

    Это ключевой момент. Решается прошивкой WW.

    Reply

  9. Евгений on Январь 18th, 2012 11:13

    Извини нафлудил у тебя, тунель поднять, однако клиенты друг друга не видят, видимо еще чего то не хватает.

    Reply

  10. Андрей Босонченко on Январь 18th, 2012 11:59

    Главное — чтоб толк от «флуда» был.

    Смотри, политики маршрутизации в этих роутерах создаются автоматом. И, по-умолчанию, после поднятия туннеля, клиенты видят друг друга, если правильно указаны remote и local network.

    Если пакеты не едут, можно играться с статическими маршрутами.

    Reply

  11. ДЯДЯ ФЁДОР on Январь 18th, 2012 12:10

    А я вот до сих пор WW не могу поставить… Роутер находится в гребенях, поэтому все делаю удаленно либо напрямую через вебморду, либо через РДП на комп в филиале и с него уже на вебморду.

    Во время прошивки на WW доходит до 6% а дальше ругается, что файл неисправен. Пробовал разные WW, пробовал заливать их на разные RU. Все одно и то же. Вот буду пробовать через флешку сделать. Еще говорят, что надо как-то хитро его прошивать, дескать подключить флешку, телнетом подрубиться через COM потом перезагрузить, и во время загрузки, набрать волшебную комбинацию, но это чревато выводом из строя устройства.
    Андрей, вы случайно не помните, с какой версии RU на какую версию WW переходили изначально?

    Reply

  12. Андрей Босонченко on Январь 18th, 2012 12:14

    Первый я вообще запорол и потом через консоль восстанавливал )

    Остальные с .43 шил. Причем да, с первого раза не шилось, за два захода только получается.

    Reply

  13. Евгений on Январь 18th, 2012 12:18

    Auto Policy
    Status Name Type IPsec Mode Local Remote Auth Encr
    Enabled vpn Auto Policy Tunnel Mode 192.168.18.0 / 255.255.255.0 192.168.15.224 / 255.255.255.224 NONE DES

    тот что за dlink-ом 192.168.18.0/255.255.255.0, те что за циской 192.168.15.224/255.255.255.224

    на циске добавил маршрут
    ip route 192.168.18.0 255.255.255.0 94.73.207.xx

    на длинке добавлял статич маршрут
    Name Destination Subnet Mask Gateway Interface Metric Active Private
    ToCentr 192.168.15.224 255.255.255.224 94.73.227.162 Dedicated WAN 10 Yes Yes
    Не ходят пинги..
    Туннель висит:
    Policy Name Endpoint tx ( KB ) tx ( Packets ) State Action
    vpn 94.73.207.xx 0.53 2 IPsec SA Established
    Лог длинка:
    Wed Jan 18 10:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: Purged IPsec-SA with proto_id=ESP and spi=3586266552(0xd5c215b8).
    Wed Jan 18 10:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: an undead schedule has been deleted: ‘pk_recvupdate’.
    Wed Jan 18 10:06:13 2012 (GMT +0000): [DSR-500] [IKE] INFO: IPsec-SA established: ESP/Tunnel 94.73.227.xx->94.73.207.xx with spi=923443244(0x370aa02c)
    Wed Jan 18 10:06:13 2012 (GMT +0000): [DSR-500] [IKE] INFO: IPsec-SA established: ESP/Tunnel 94.73.207.xx->94.73.227.xx with spi=189918832(0xb51ee70)
    Wed Jan 18 10:06:13 2012 (GMT +0000): [DSR-500] [IKE] INFO: Using IPsec SA configuration: 192.168.18.0/24192.168.15.224/27
    Wed Jan 18 10:06:13 2012 (GMT +0000): [DSR-500] [IKE] INFO: Responding to new phase 2 negotiation: 94.73.227.161[0]94.73.207.29[0]
    Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: IPsec-SA established: ESP/Tunnel 94.73.227.xx->94.73.207.xx with spi=3586266552(0xd5c215b8)
    Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: IPsec-SA established: ESP/Tunnel 94.73.207.xx->94.73.227.xx with spi=124835815(0x770d7e7)
    Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] WARNING: attribute has been modified.
    Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] WARNING: Ignore RESPONDER-LIFETIME notification from 94.73.207.xx[500].
    Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: Initiating new phase 2 negotiation: 94.73.227.xx[0]94.73.207.xx[0]
    Wed Jan 18 09:07:01 2012 (GMT +0000): [DSR-500] [IKE] INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT]

    Reply

  14. Евгений on Январь 18th, 2012 12:28

    ухх…таки засветил ипы..

    Reply

  15. Vladimir Bryzgalov on Апрель 2nd, 2012 11:27

    Здравствуйте! Вот пытаюсь настроить связь между филиалами компании. Взял 2 штуки DSR-500( 1.06B11_RU) на тест у D-Link. Посмотрел по картинке настроек. Объясните пожалуйста что писать в Remote Endpoint, Local Identifier и Remote Identifier. Как я понимаю, настройки должны быть идентичны на обоих устройствах, только зеркальные. Объясните пожалуйста поподробней, а то я запутался уже где локалный адрес, где удалённый…

    Reply

  16. Андрей Босонченко on Апрель 2nd, 2012 18:36

    Здравствуйте.

    Поясню на примере картинки.

    Local identifier — точка, по которой удаленная сторона туннеля ориентируется при установке туннеля. Поскольку айпи — динамический на локальном устройстве, выбран тип идентификатора FQDN (*.dindns.com)

    Remote Endpoint — это точка, с которой связывается локальное устройство при инициации связи. В нашем примере у удаленного устройства постоянный айпи, поэтому выбран тип — IP Address.

    Remote Identifier — оставляйте как есть. Этот параметр участвует при обмене ключами и, в текущем выборе (Remote Wan IP) автоматически принимает значение ай-пи удаленного устройства.

    Для простоты, даже если у Вас оба устройства с динамическими айпи, на период настроек, можно просто указать в качестве ремоте эндпойнт и локал идентифер внешние айпи соответствующих устройств.

    Reply

  17. Vladimir Bryzgalov on Апрель 2nd, 2012 18:52

    Вроде понял. То есть указывать в Local Identifier указывать IP или FQDN устройства на котором в данный момент настраиваю. В Remote Endpoint указываю IP устройства которому подключаюсь.
    У меня все IP статичные.
    Спасибо за подробный пример.
    Но вот тут ещё один вопрос появился. Каким образом связываются более двух устройств? Просто в данный момент всего два офиса связываю, а в дальнейшем ещё филиалы в других городах.
    Заранее спасибо! Кстати отличный блог)

    Reply

  18. Андрей Босонченко on Апрель 2nd, 2012 19:57

    Спасибо.

    Для создания дополнительных туннелей создавайте дополнительные IPSEC соединения.
    Т.е. просто повторяйте предыдущие шаги.
    И так N раз, в зависимости от количества нужных туннелей.

    Reply

  19. Vladimir Bryzgalov on Апрель 3rd, 2012 10:43

    Спасибо! Вроде разобрался. Только ещё один вопрос. Допустим есть три разных офиса, соответственно стоят 3 DSR-500. Обозначим их А, В и С. Нужно будет в каждом офисе, например где стоит устройство А, делать тунель и к устройству В и к устройству С? Или достаточно сделать к В, который уже соединён с устройством С?
    И ещё один небольшой вопрос, немного не в тему, но всё же по DSR-500. В роутерах D-Link есть такая функция DMZ. Думаю не стоит объяснять что это такое. Но в DSR-500 нельзя прописать DMZ какой либо IP-адрес — только если машина подключена к порту DMZ, который перенастраивается из «ненужного» WAN2. Дак вот возник вопрос: у меня в сети подключен принтер через интернет, для печати через терминал, соответственно к нему нужен доступ из сети Интернет. Тянуть до него отдельный кабель ой как не хочется..есть ли способ решить этот вопрос с помощью маршрутизации и ещё как нибудь? В принципе тема не важна, так как когда наладим VPN между офисами вопрос в «Интернет-принтере» отпадёт сам собой,

    Reply

  20. Vladimir Bryzgalov on Апрель 3rd, 2012 11:03

    Да. И ещё в догонку. каким образом будет осуществляться работа DHCP? Как я понял, весь диапазон адресов входящих в Local Start IP Adress- Local End IP Adress будет работать в туннеле. Присвоить компьютеру IP адрес входящий в этот диапазон можно через настройки DHCP в настройках LAN. Правильно понял? Если что поправьте пожалуйста.

    Reply

  21. Андрей Босонченко on Апрель 3rd, 2012 19:26

    Да, чтоб не возиться с маршрутизацией и, кроме того, снизить нагрузку на узлы, лучше реализовать подключение каждое-с-каждым. Как у меня на схеме.

    По поводу ДМЗ. Проще реализовать это с помощью проброса портов (виртуальный сервер)

    По поводу ДХЦП да, все верно.

    Reply

  22. Vladimir Bryzgalov on Апрель 5th, 2012 07:27

    Вроде настроил. Пока что ещё не проверял. Завтра начну. Ещё хотел спросить по поводу параметров Exchange Mode и Direction / Type. Если с первым всё более менее понятно, то со вторым не совсем. Как я понял, это выбор устройства которое будет осуществлять инициализацию соединения для туннеля. Может не так. Но всё таки не понимаю что туда ставить.
    И ещё вопрос. Видимо у Вас скриншот на старой прошивке, у меня ещё появился keep-Alive, Думаю грех не воспользоваться для автоматизации исправления лагов в сети. Но что писать туда, я не в курсе) Есть параметры
    Source IP Address
    Destination IP Address
    Detection Period:
    Reconnect after failure count

    Неужели писать WAN первого экрана и WAN второго?

    Reply

  23. Peter Smirnov on Ноябрь 14th, 2012 14:13

    Андрей, подскажите пожалуйста где и как настроить маршрутизацию между двумя DSR-500/1000 (если честно слегка запутался в том что советуют в сети).
    IPsec туннель поднялся, пинги до удаленного DSR-а ходят, но не пингуются другие машины в этой сети. И что сделать чтобы 2 получал инет через этот же VPN-туннель из сети первого роутера.
    Перепробовал варианты которые предлагают в инструкции не помогло :(
    Прошивки в обоих железках WW_1.06B53

    С уважением.

    Reply

  24. Андрей Босонченко on Ноябрь 14th, 2012 14:55

    Добрый день.
    Маршрутизация не нужна, насколько я помню, все должно ходить и так. Возможно пинги работать не будут, если включены файрволы на машинах (они запрещают пинги из разных сетей)

    По поводу интернета так не отвечу. Сейчас под рукой устройства нет.
    Но, по логике, нужно создать правило маршрутизации, имеющее входом локальную сеть и выходом ppp соединение

    Reply

Leave a Reply