[alef2474]

Цитата:

Цитата morebeauty: В настройках LAN интерфейса роутера нельзя установить маску, отличную от 255.255.255.х »

В DI-804HV можно другую маску, если не использовать встроенный DHCP роутера, имхо.
Там поля для ввода масок открыты и в настройках локсети и в настройках VPN.
А адреса для подсети должны быть свои локальные. Или можно их статическими сделать или поставить другую железку(помимо 804) раздающую DHCP в подсеть.

[morebeauty]

Цитата alef2474:

В DI-804HV можно другую маску, если не использовать встроенный DHCP роутера, имхо. »

К сожалению ваше мнение не совпадает с мнением роутера. При попытке ввести маску 255.255.128.0 (при отключеном или включеном DHCP) вылазит алерт с просьбой ввести маску вида 255.255.255.х

Цитата alef2474:

Там поля для ввода масок открыты и в настройках локсети и в настройках VPN. »

Вот в настройках VPN я могу указать любую правильную маску. Но мне это никак не может помочь.

Цитата alef2474:

А адреса для подсети должны быть свои локальные. Или можно их статическими сделать или поставить другую железку(помимо 804) раздающую DHCP в подсеть. »

Я не совсем понял для чего это было сказано. У меня нет проблемы с DHCP. И у тех немногих клиентов, которые цепляются к сети на объекте я могу и вручную вбить настройки TCP, но еще раз повторю, мне нужно подключить маршрутизатор на своей стороне не к отдельному интерфейсу 192.168.201.1, а к свитчу, чтобы он видел напрямую подсеть 192.168.0.0 с маской 255.255.128.0, а для этого надо указать в его настройках ЛАН АйПи из этого диапазона и эту маску. Или я не прав?

[alef2474]

Цитата:

Цитата morebeauty: К сожалению ваше мнение не совпадает с мнением роутера. »

Надо будет попробовать на своем di-808HV. Я написал потому, что в принципе поле открыто для ввода, что не на всех роутерах бывает.

Цитата:

Цитата morebeauty: чтобы он видел напрямую подсеть 192.168.0.0 с маской 255.255.128.0, а для этого надо указать в его настройках ЛАН АйПи из этого диапазона и эту маску. Или я не прав? »

Если Вы хотите, чтобы он видел ту подсеть через VPN роутера, то его подсеть в локальных настройках на странице LAN должна как раз отличаться от 192.168.0.0/255.255.128.0
А на странице настроек VPN должны фигурировать обе разные подсети, которые Remote и Local там называются.
Настройки Remote и Local не одинаковые.

[morebeauty]

Цитата alef2474:

Если Вы хотите, чтобы он видел ту подсеть через VPN роутера, то его подсеть в локальных настройках на странице LAN должна как раз отличаться от 192.168.0.0/255.255.128.0 А на странице настроек VPN должны фигурировать обе разные подсети, которые Remote и Local там называются. Настройки Remote и Local не одинаковые. »

Или я Вас не понимаю или Вы меня.

VPN соединяет 2 локальные подсети, соответствующие LAN подсетям роутеров. То есть если на роутере 1 подсеть 192.168.201.0 а на другом 192.168.214.0, то эти 2 подсети и будут соединяться туннелем.

Если на одной стороне маршрутизацией к роутеру подвести еще одну подсеть, например 192.168.203.1, то можно будет поднять еще один туннель для этой подсети тоже. Я это уже делал. Но сейчас все поменялось, пришлось переделывать. И я не могу повторить это снова.

[alef2474]

Цитата:

Цитата morebeauty: VPN соединяет 2 локальные подсети, соответствующие LAN подсетям роутеров. То есть если на роутере 1 подсеть 192.168.201.0 а на другом 192.168.214.0, то эти 2 подсети и будут соединяться туннелем. Если на одной стороне маршрутизацией к роутеру подвести еще одну подсеть, например 192.168.203.1, то можно будет поднять еще один туннель для этой подсети тоже. Я это уже делал. Но сейчас все поменялось, пришлось переделывать. И я не могу повторить это снова. »

Вот Вы стали немного подробнее рассказывать про свои сети, а то приходилось гадать.
По тому, как Вы описали и по Вашему факту предыдущей работы можно заключить, что
а)настройки vpn у Вас в роутере нормальные, если Вы их не трогали.
б)дело только в настройке маршрутизации второй подсети на этот роутер.
А какими средствами Вы раньше эту маршрутизацию настраивали?
Я не знал, что на DI-804HV могут сосуществовать 2 локальные подсети.
На другом конце канала что за роутер используется?

[morebeauty]

Трогал настройки. Структуру сети я кратко описал в первом сообщении.

Раньше было так:
Сервер AD, DNS, DHCP имел 3 интерфейса:
1. 200.200.201.1 (к этому интерфейсу был подключен DI-804HV и имел адрес 200.200.201.3)
2. 200.200.202.1 (это основная подсеть организации. В этой подсети все клиентские компы, принтеры, другие серверы и тд)
3. 200.200.203.1 (этот интерфейс напрямую соединен с прокси сервером (на нем же файрвол и NAT))

На другом конце ВПН роутер имел адрес 200.200.214.1.

Так вот DI-804HV держали 3 тоннеля:
200.200.114.0 <--> 200.200.201.0
200.200.114.0 <--> 200.200.202.0
200.200.114.0 <--> 200.200.203.0

с нашей стороны на роутере была маршрутизация
200.200.202.0 --> 200.200.201.1
200.200.203.0 --> 200.200.201.1

На сервере была маршрутизация:
200.200.114.0 --> 200.200.201.1 (то есть на интерфейс с маршрутизатором ВПН)

Все работало гладко. Структура сети была сделана задолго до меня, ВПН я поднял лично.
Но как думаете, что мне не понравилось в этой структуре? Правильно, адресация! Ну не должна внутренняя сеть иметь адреса из белого диапазона, как-то это не правильно

И вот я решил все переделать на 192.168.0.0 255.255.128.0 расширив за одно диапазон.

Теперь картина такая.
Сервер имеет уже 4 интерфейса:
192.168.1.1 255.255.128.0 (основной интерфейс для всех клиентских компов, устройств и тд)
192.168.203.1 255.255.255.0 (связь с проксиком. Собственно как прокси он уже не работает, но выход во внешку и сеть корпорации до сих пор через него)
192.168.201.1 255.255.255.0 (сюда подключен роутер ВПНа)
200.200.202.1 255.255.255.0 (все еще в работе, тк реорганизация не закончена и часть клиентов и серверов до сих пор в этой подсети)

Соответственно в ВПНах я удалил 2 туннеля, а третий переписал из 200.200.114.0 <--> 200.200.201.0 в 192.168.214.0 <--> 192.168.201.0

Туннель поднялся, на той стороне виден сервер AD, но этого мало. Надо еще иметь связь с подсетью 192.168.0.0 255.255.128.0
Поэтому я создал туннель 192.168.214.0 255.255.255.0 <--> 192.168.0.0 255.255.128.0
на сервере прописал маршрут 192.168.214.0 --> 192.168.201.1 (то есть отправил на роутер)
на роутере с нашей стороны прописал маршрут 192.168.0.0 255.255.128.0 --> 192.168.201.1 (то есть связал роутер с подсетью 192.168.0.0)
С роутера отлично идет пинг до 192.168.1.1
Но туннель не поднимается.


Я решил, что возможно происходит путаница с подсетями, ведь 192.168.214.0 так же подошла бы к маске 255.255.128.0.
По старой памяти попробовать связать 192.168.214.0 и 192.168.203.0 (см интерфейсы сервера)
Но даже этот туннель не поднимается.
Причем настройки туннелей идентичны с настройками работающего туннеля (за исключением адресации, конечно).
короче я запутался уже.

[morebeauty]

Неужели никто не поможет?

[GodSaveMe]

Может дело в шифровании? У меня тоже туннель не поднимался, потом увидел что на стороне клиента и сервера стоят разные шифрования. Тоже как и в вашем случае у меня пинг проходил нормально, но тунель не поднимался. Проверьте еще раз настройки детально, может где то пропустили. Тут особо никаких настроек и нету.

[morebeauty]

На 50 раз уже все перепроверил.
Настройки IPSec porposal и IKE porposal берутся из таблицы, и, учитывая, что один туннель поднимается, настройки идентичны.
Preshare key тоже проверял.