Пример дешевого объединения офисов
Захотелось клиенту объединить телефонной (прежде всего) связью все офисы
Есть центральный офис и два удаленных. На центральном офисе стоит гибридная АТС, что позволяет использовать ip-телефонию. Осталось только объединить офисы.
Вначале было предложено решение в виде ZyWall USG 100 в центре и USG 20 в удаленных. Однако заказчик посчитал это решение дорогим и решил действовать самостоятельно, купив Cisco RV082 для центра и еще один, совершенно домашний роутер для удаленного офиса.
Как оказалось (что логично), домашний роутер не умеет ipsec vpn, поэтому ему был предложен вариант с D-Link DSR-500 в качестве удаленных шлюзов.
Собственно, получилась такая картина:
Телефония работает, пакеты ходят.
На DSR`ах используется динамический ip-адрес, поэтому использовали dlinkddns. Прошивки, само собой, использовались WW, поскольку RU представляют собой кусок несчастья.
Comments
24 комментария to “Пример дешевого объединения офисов”
Leave a Reply
А не подскажите ли, коллега, нормально ли прошился DSR-500 через WW прошивку? Просто на иностранных сайтах есть только для 500N, а я имел несчастье купить 500 просто. И еще вопросик, после прошивки слетели ли настройки на default? А то на форумах пишут, что есть прошивка WW после которой настройки сохраняются, а после нее уже можно любую WW ставить.
Заранее спасибо
Reply
Здравствуйте.
Прошивка 500 и 500N абсолютно идентичная. У меня тоже обычные 500-ки.
Прошивка, конечно же, нормально не встала. Только со второго раза. Причины не ясны.
На счет настроек не скажу, поскольку перед прошивкой всегда сбрасываю в дефолты. Чтобы меньше острых камней возникало.
Reply
Спасибо огромное за ответ. Просто 500 стоит в Удаленном (с большой буквы) месте через спутник. И его настраивать ОООчень тяжело удаленно. Вот я и перестраховываюсь, Так как если слетят настройки, даже не знаю что делать, придется по телефону бухгалтеру объяснять, как настроить wan и remote management — словом и смех и грех.
Ну как говориться, кто не рискует, тот не пьет. Пойду пробовать.
Reply
Можешь описать немного как вязались cisco и dsr-ы, подобная конфигурация у меня, только cisco 871-k9 , ни в какую не линкуются..
Reply
Вот страница настроек DSR-a: http://andboson.net/jim/images/dsr500cfg.jpg
А что логи говорят? Первая фаза IKE проходит?
ЗЫ: Ну и, это нужно упомянуть, мы таки отказались от циски. Потому что туннели отваливались по несколько раз в сутки. Как только ее заменили на DSR-500 — все заработало стабильно.
Reply
Из ошибок только это, не могу найти в чем причина:
Wed Jan 18 07:39:24 2012 (GMT +0000): [DSR-500] [IKE] ERROR: Phase 2 negotiation failed due to time up. 331fbc4dc6323bb8:462d41177496bc1e:dbd30de0
Wed Jan 18 07:39:14 2012 (GMT +0000): [DSR-500] [IKE] ERROR: Unknown notify message from 94.73.xx.xx[500].No phase2 handle found.
Wed Jan 18 07:38:24 2012 (GMT +0000): [DSR-500] [IKE] ERROR: Unknown notify message from 94.73.xx.xx[500].No phase2 handle found.
Wed Jan 18 07:38:24 2012 (GMT +0000): [DSR-500] [IKE] INFO: Initiating new phase 2 negotiation: 94.73.хх.хх[0]94.73.хх.хх[0]
Wed Jan 18 07:38:24 2012 (GMT +0000): [DSR-500] [IKE] INFO: Configuration found for 94.73.хх.хх.
Видимо прошивки разные у нас, у меня в phase2 в Integrity Algorithm нельзя ничего выбрать, стоит NONE.
Reply
Думается может правил фаервола не хватает на dsr-500…
Reply
>у меня в phase2 в Integrity Algorithm нельзя ничего выбрать, стоит NONE.
Это ключевой момент. Решается прошивкой WW.
Reply
Извини нафлудил у тебя, тунель поднять, однако клиенты друг друга не видят, видимо еще чего то не хватает.
Reply
Главное — чтоб толк от «флуда» был.
Смотри, политики маршрутизации в этих роутерах создаются автоматом. И, по-умолчанию, после поднятия туннеля, клиенты видят друг друга, если правильно указаны remote и local network.
Если пакеты не едут, можно играться с статическими маршрутами.
Reply
А я вот до сих пор WW не могу поставить… Роутер находится в гребенях, поэтому все делаю удаленно либо напрямую через вебморду, либо через РДП на комп в филиале и с него уже на вебморду.
Во время прошивки на WW доходит до 6% а дальше ругается, что файл неисправен. Пробовал разные WW, пробовал заливать их на разные RU. Все одно и то же. Вот буду пробовать через флешку сделать. Еще говорят, что надо как-то хитро его прошивать, дескать подключить флешку, телнетом подрубиться через COM потом перезагрузить, и во время загрузки, набрать волшебную комбинацию, но это чревато выводом из строя устройства.
Андрей, вы случайно не помните, с какой версии RU на какую версию WW переходили изначально?
Reply
Первый я вообще запорол и потом через консоль восстанавливал )
Остальные с .43 шил. Причем да, с первого раза не шилось, за два захода только получается.
Reply
Auto Policy
Status Name Type IPsec Mode Local Remote Auth Encr
Enabled vpn Auto Policy Tunnel Mode 192.168.18.0 / 255.255.255.0 192.168.15.224 / 255.255.255.224 NONE DES
тот что за dlink-ом 192.168.18.0/255.255.255.0, те что за циской 192.168.15.224/255.255.255.224
на циске добавил маршрут
ip route 192.168.18.0 255.255.255.0 94.73.207.xx
на длинке добавлял статич маршрут
Name Destination Subnet Mask Gateway Interface Metric Active Private
ToCentr 192.168.15.224 255.255.255.224 94.73.227.162 Dedicated WAN 10 Yes Yes
Не ходят пинги..
Туннель висит:
Policy Name Endpoint tx ( KB ) tx ( Packets ) State Action
vpn 94.73.207.xx 0.53 2 IPsec SA Established
Лог длинка:
Wed Jan 18 10:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: Purged IPsec-SA with proto_id=ESP and spi=3586266552(0xd5c215b8).
Wed Jan 18 10:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: an undead schedule has been deleted: ‘pk_recvupdate’.
Wed Jan 18 10:06:13 2012 (GMT +0000): [DSR-500] [IKE] INFO: IPsec-SA established: ESP/Tunnel 94.73.227.xx->94.73.207.xx with spi=923443244(0x370aa02c)
Wed Jan 18 10:06:13 2012 (GMT +0000): [DSR-500] [IKE] INFO: IPsec-SA established: ESP/Tunnel 94.73.207.xx->94.73.227.xx with spi=189918832(0xb51ee70)
Wed Jan 18 10:06:13 2012 (GMT +0000): [DSR-500] [IKE] INFO: Using IPsec SA configuration: 192.168.18.0/24192.168.15.224/27
Wed Jan 18 10:06:13 2012 (GMT +0000): [DSR-500] [IKE] INFO: Responding to new phase 2 negotiation: 94.73.227.161[0]94.73.207.29[0]
Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: IPsec-SA established: ESP/Tunnel 94.73.227.xx->94.73.207.xx with spi=3586266552(0xd5c215b8)
Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: IPsec-SA established: ESP/Tunnel 94.73.207.xx->94.73.227.xx with spi=124835815(0x770d7e7)
Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] WARNING: attribute has been modified.
Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] WARNING: Ignore RESPONDER-LIFETIME notification from 94.73.207.xx[500].
Wed Jan 18 09:07:02 2012 (GMT +0000): [DSR-500] [IKE] INFO: Initiating new phase 2 negotiation: 94.73.227.xx[0]94.73.207.xx[0]
Wed Jan 18 09:07:01 2012 (GMT +0000): [DSR-500] [IKE] INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT]
Reply
ухх…таки засветил ипы..
Reply
Здравствуйте! Вот пытаюсь настроить связь между филиалами компании. Взял 2 штуки DSR-500( 1.06B11_RU) на тест у D-Link. Посмотрел по картинке настроек. Объясните пожалуйста что писать в Remote Endpoint, Local Identifier и Remote Identifier. Как я понимаю, настройки должны быть идентичны на обоих устройствах, только зеркальные. Объясните пожалуйста поподробней, а то я запутался уже где локалный адрес, где удалённый…
Reply
Здравствуйте.
Поясню на примере картинки.
Local identifier — точка, по которой удаленная сторона туннеля ориентируется при установке туннеля. Поскольку айпи — динамический на локальном устройстве, выбран тип идентификатора FQDN (*.dindns.com)
Remote Endpoint — это точка, с которой связывается локальное устройство при инициации связи. В нашем примере у удаленного устройства постоянный айпи, поэтому выбран тип — IP Address.
Remote Identifier — оставляйте как есть. Этот параметр участвует при обмене ключами и, в текущем выборе (Remote Wan IP) автоматически принимает значение ай-пи удаленного устройства.
Для простоты, даже если у Вас оба устройства с динамическими айпи, на период настроек, можно просто указать в качестве ремоте эндпойнт и локал идентифер внешние айпи соответствующих устройств.
Reply
Вроде понял. То есть указывать в Local Identifier указывать IP или FQDN устройства на котором в данный момент настраиваю. В Remote Endpoint указываю IP устройства которому подключаюсь.
У меня все IP статичные.
Спасибо за подробный пример.
Но вот тут ещё один вопрос появился. Каким образом связываются более двух устройств? Просто в данный момент всего два офиса связываю, а в дальнейшем ещё филиалы в других городах.
Заранее спасибо! Кстати отличный блог)
Reply
Спасибо.
Для создания дополнительных туннелей создавайте дополнительные IPSEC соединения.
Т.е. просто повторяйте предыдущие шаги.
И так N раз, в зависимости от количества нужных туннелей.
Reply
Спасибо! Вроде разобрался. Только ещё один вопрос. Допустим есть три разных офиса, соответственно стоят 3 DSR-500. Обозначим их А, В и С. Нужно будет в каждом офисе, например где стоит устройство А, делать тунель и к устройству В и к устройству С? Или достаточно сделать к В, который уже соединён с устройством С?
И ещё один небольшой вопрос, немного не в тему, но всё же по DSR-500. В роутерах D-Link есть такая функция DMZ. Думаю не стоит объяснять что это такое. Но в DSR-500 нельзя прописать DMZ какой либо IP-адрес — только если машина подключена к порту DMZ, который перенастраивается из «ненужного» WAN2. Дак вот возник вопрос: у меня в сети подключен принтер через интернет, для печати через терминал, соответственно к нему нужен доступ из сети Интернет. Тянуть до него отдельный кабель ой как не хочется..есть ли способ решить этот вопрос с помощью маршрутизации и ещё как нибудь? В принципе тема не важна, так как когда наладим VPN между офисами вопрос в «Интернет-принтере» отпадёт сам собой,
Reply
Да. И ещё в догонку. каким образом будет осуществляться работа DHCP? Как я понял, весь диапазон адресов входящих в Local Start IP Adress- Local End IP Adress будет работать в туннеле. Присвоить компьютеру IP адрес входящий в этот диапазон можно через настройки DHCP в настройках LAN. Правильно понял? Если что поправьте пожалуйста.
Reply
Да, чтоб не возиться с маршрутизацией и, кроме того, снизить нагрузку на узлы, лучше реализовать подключение каждое-с-каждым. Как у меня на схеме.
По поводу ДМЗ. Проще реализовать это с помощью проброса портов (виртуальный сервер)
По поводу ДХЦП да, все верно.
Reply
Вроде настроил. Пока что ещё не проверял. Завтра начну. Ещё хотел спросить по поводу параметров Exchange Mode и Direction / Type. Если с первым всё более менее понятно, то со вторым не совсем. Как я понял, это выбор устройства которое будет осуществлять инициализацию соединения для туннеля. Может не так. Но всё таки не понимаю что туда ставить.
И ещё вопрос. Видимо у Вас скриншот на старой прошивке, у меня ещё появился keep-Alive, Думаю грех не воспользоваться для автоматизации исправления лагов в сети. Но что писать туда, я не в курсе) Есть параметры
Source IP Address
Destination IP Address
Detection Period:
Reconnect after failure count
Неужели писать WAN первого экрана и WAN второго?
Reply
Андрей, подскажите пожалуйста где и как настроить маршрутизацию между двумя DSR-500/1000 (если честно слегка запутался в том что советуют в сети).
IPsec туннель поднялся, пинги до удаленного DSR-а ходят, но не пингуются другие машины в этой сети. И что сделать чтобы 2 получал инет через этот же VPN-туннель из сети первого роутера.
Перепробовал варианты которые предлагают в инструкции не помогло :(
Прошивки в обоих железках WW_1.06B53
С уважением.
Reply
Добрый день.
Маршрутизация не нужна, насколько я помню, все должно ходить и так. Возможно пинги работать не будут, если включены файрволы на машинах (они запрещают пинги из разных сетей)
По поводу интернета так не отвечу. Сейчас под рукой устройства нет.
Но, по логике, нужно создать правило маршрутизации, имеющее входом локальную сеть и выходом ppp соединение
Reply