Проброс портов на D-Link DFL-210

08 Mar 2011 | Автор: anchous |

В процессе войны с поганейшим агрегатом из всех что мне доводилось встречать, под названием D-Link DFL-210, возникла необходимость попасть в сеть клиента, при том, что VPN я поднять на нем пока не смог, ибо соединение устанавливается, но как то не понятно реализована внутренняя маршрутизация, хотя я настраивал точно по имеющимся в инете ФАКам, и после установления соединения, пингуется только внутренний интерфейс. Но это тема для другого разговора, а пока я быстро решил поднять на коленке проброс RDP на внутренний хост, с тем чтобы быстро решить необходимую мне задачу.

На D-Link сайте нашел веселые картинки, показывающие как и что сделать, но поскольку мне их публиковать ломы. то распишу руками.
1. Логинимся на рутер
2. Создаем объект на который будем пробрасывать порты:
Objects -> Address Book -> InterfaceAddresses -> Add IP4 Address
Name: Имя-сервера
Address: IP-адресс сервера

3. Создаем правила проброса портов:
Rules -> IP Rules -> Add IP Rule Folder -> Входим в новую папку и Add IP Rule (две штуки)

3.1. Правило проброса:
Вкладка General:
Action: SAT
Service: rdp
Source (interface/network): any/all-nets
Destination (interface/network): core/wan_ip
Вкладка SAT:
Включаем кнопочка на Destination IP
New IP Address: Имя-сервера (из п.2)
New Port: 3389
Включаем чекбокс: All-to-One Mapping: rewrite all destination IPs to a single IP

3.2 Правило прохождения пакета:
Вкладка General:
Action: Allow
Service: rdp
Source (interface/network): any/all-nets
Destination (interface/network): core/wan_ip

По версии D-Link на этой торжественной ноте можно говорить: Configuration -> Save and Activate, но у меня после этого канал поднимался где то на полторы минуты, после чего соединение висло, а рутер говорил что он был перезапущен из-за ошибки: “Could not establish bi-directional communication after configuration upload”. Зная как работает D-Link, я пришел к тому, что второе правило, которое гарантирует прохождение пакета- не отрабатывает тот самый пресловутый  bi-directional , который D-Link обещает всем выбравшим в действии правила Allow, для того чтобы не создавать два правила туда и назад. Но це оказалась не фича, а бага, поэтому я добавил третье правило:

Вкладка General:
Action: Allow
Service: rdp
Source (interface/network): wan/Имя-сервера (из п.2)
Destination (interface/network): any/all-nets

После этого коннект поднялся нормально, даже не смотря на ту же самую ошибку, которая так и осталась висеть в причине перезапуска, но уже не мешала стабильности соединения.

VN:F [1.9.21_1169]
Rating: 8.5/10 (11 votes cast)
VN:F [1.9.21_1169]
Rating: +5 (from 5 votes)
Проброс портов на D-Link DFL-210, 8.5 out of 10 based on 11 ratings

Теги: , , , , ,

Отзывов: 20 на «Проброс портов на D-Link DFL-210»

  1. Автор: carismatic на 21 Dec 2011

    Благодарю за статью!!!! Очень помогло
    Вот с этим: “…поганейшим агрегатом из всех что мне доводилось встречать…” полностью согласен!

    [Reply]

    anchous Reply:

    пжлста, рад что пригодилась..
    я собственно поэтому при первой же возможности и сменил его на программный фаервол под фрей.

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 5.0/5 (1 vote cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  2. Автор: sash на 29 Dec 2011

    Делаю все тоже самое(
    Добавляю 3 правила добавляю внутр айпи
    Но не чего не прокатывает(
    Но порт вообще не прокидываеться(

    Не знаете где рыть)?

    [Reply]

    anchous Reply:

    если все сделали также как описано, то для начала попробуйте сохранить и перегрузить агрегат.
    также попробуйте обновить прошивку, и поиграть правилами- кирогаз глючный, так что у меня была ситуация, когда я 3-4 создавал одинаковые правила и они заработали только на четвертый раз, хотя вроде все делал одинаково

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  3. Автор: sav0808 на 20 Feb 2012

    Не совсем согласен, с первым комментом, что это “поганейший агрегат!”. Абсолютно нормальные аппараты. По крайней мере DFL-860e – настраивается достаточно серьёзно и гибко! По поводу перенаправления портов – на сайте D-Link что-то действительно недоговорили. Я нашёл другую инструкцию (официальную) с австралийского сайта Д-Линка. Вот ссылка на список инструкций:
    _www.dlink.com.au/tech/Download/download.aspx?product=DFL-860
    А вот сслылка – по которой я публиковал порт RDP (правда в инструкции FTP публиковали – но аналогия с rdp полная!)
    Там получается первое правило – точно как по инструкции. А во втором правлие вместо “Allow” – выбираем “NAT”. И всётут же работает, без третьего правила. Если есть ещё варианты – просим “в студию” так сказать.
    Удачи всем!

    [Reply]

    sav0808 Reply:

    ftp://files.dlink.com.au/products/DFL-860/REV_A/SetupGuides/How_to_configure_SAT(Port_Forwarding)__for_DMZ_server_v2-00.pdf

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)

    anchous Reply:

    не согласны с тем что это “поганейший агрегат из всех что мне доводилось встречать”? :)
    даже если не принимать к сведению тот момент, что у компании D_Link вообще свой взгляд на работу некоторых сетевых сервисов, таких например как NAT, а просто касаемо устройства- это не хайэнд, а smallbusiness уровень; и настраиваться все должно в интуитивно понятном режиме, а не в виде многочасовых плясок с бубнами и поисков по порталам вендора- у которого в разных странах различен не только контент, но и даже описание одних и тех же кирогазов.

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 5.0/5 (1 vote cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  4. Автор: sav0808 на 20 Feb 2012

    Кстати, DFL-ки – не D-Link разрабатывает. А компания Clavister. И железо и ПО. Это так, к слову…

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  5. Автор: sav0808 на 20 Feb 2012

    _www.clavister.com/products-and-services/enterprise-security-gateways/clavister-sg60-series/

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  6. Автор: Сергей на 27 Apr 2012

    Не согласен! …С поганейшим агрегатом…
    то что мануалы не дописаны – это ясно, но включайте голову , вставляйте руки как надо, и читайте логи(в них всегда можно прочитать-понять на чем спотыкач) и будет вам счастье.
    PS. у меня через него работают:
    проброс внутрь
    ApexDC, торренты, самба шары (с wan интерфейса с определенных адресов пускает для друзей) SSH (на внутренние серваки с нужных мне портов перебрасывает на 22)
    CS1.6

    VPN подключение к интернету по L2TP держит стабильно. от провайдера 14 мегабит поддерживает без обрезки.
    мультикаст во внутреннюю сетку (Simple TV работает отлично)
    свои логи даже сбрасывает на внутренний сервак
    во внутренней сетке привязка IP к MAC адресам.
    А вы говорите…!!!

    [Reply]

    anchous Reply:

    включать голову – это скорее относится к таким вот комментаторам: поганый он именно от того, что помимо своего взгляда на реализацию сетевых протоколов, все делается в нем совершенно не тривиально, и там где в линксисе надо поставить два правила, в этом кирогазе надо произвести штук 5-10 настроек в разных разделах, а потом как вы точно заметили- сидеть и отлавливать в логах почему не работает.
    если вы полагаете что так оно и надо, то полемика здесь бессмысленна.

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 5.0/5 (1 vote cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  7. Автор: Andryuha83 на 07 Dec 2012

    Где указать что при подключении :порт1 идти на один ip, а :порт2 подключаться на другой ip?

    [Reply]

    anchous Reply:

    к счастью я от него избавился еще прошлой весной, так что спустя полтора года, к сожалению, я по памяти сказать не смогу точно

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  8. Автор: Andryuha83 на 07 Dec 2012

    глянь плизз… может подскажешь
    http://forum.dlink.ru/viewtopic.php?f=3&t=157513&p=845586#p845586

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  9. Автор: Andryuha83 на 07 Dec 2012

    вроде получается. завтра проверю.

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  10. Автор: Вадим на 22 Jan 2013

    У DFL серии есть один недостаток – это малопонятная логика. Больше недостатков я не наблюдал. Используем DFL-1660, 860, 260, 210 в корпоративной сети, центровая рулит общим трафиком на канале 200 МБит/с. Идет IP видеонаблюдение, VPN, интернет и прочая лабуда. Глюк был только один раз – при изменении IP адреса в правиле 1660 уходила в ребут. Правило пришлось пересоздавать заново.

    [Reply]

    anchous Reply:

    мне кажется что этого недостатка вполне достаточно для того, чтобы три раза подумать на счет необходимости такого кирогаза в своем подчинении

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  11. Автор: Александр на 18 Sep 2013

    Ув. Автор :)
    В дфл-серии применяется логика а-ля циско. Где пляшут от частного к общему. Это в отличие от домашних роутеров, где идём от общего к частному.

    Непонятна эта логика может быть лишь тем, кто мало знаком с серьёзными устройствами. А для тех, кто писал конфиги для цисок – это как два пальца.

    Дфл-серия – это крайне стабильные железки. 210е у меня в доп. офисах работают уже четвёртый год :] При ценнике в несколько раз ниже циско дают такую же тонкость настройки и такую же стабильность. Им всё похрен – скачки напряжения, выключения, внезапные включения – всё равно оживает и снова даёт связь.

    Софтовые решения дороги (если ставить на нормальное железо, а не на десктоп), монструозны и всё-таки капризны. Домашние роутеры с красивой вебмордой отлетают сами собой, не могут они такой аптайм в массе обеспечить.

    з.ы. и из дешевых решений можно сравнивать разве что с микротиками и зуволлом. Но никак не с решением на основе фряхи (любым, что сервер, что перешитый домашний роутер)

    [Reply]

    anchous Reply:

    обожаю такие умные комменты из серии “сам не похвалишь, никто не похвалит”.
    циску то когда нить живую видеть доводилось?
    у неё также все настраивается не так как в офф.мануале?
    NAT у циски, если что, работает нормально ) в отличии от длинковских трактовок с пробросом портов или обращения во внутрь сетки изнутри же
    на тему 210 не скажу, но зная как работают их свичи, то что им все похрен – не поверю, так как свичи (любых серий) вылетают от малейших скачков напряжения и даже грозовой статики

    и да, на основе софтового решения, можно замутить шлюз любой сложности и конфигурации ;) тем более что по масштабируемости и производительности он переплюнет любую железку

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  12. Автор: Владимирё на 28 Oct 2015

    DFL не понравился- применение новых правил в NAT обрывает все соединения. Интерфейс по сравнению с микротик достаточно бедный. Встроенных инструментов диагностики – чего либо мало( по крайней мере те, что видны на WEB). У микротика логика прописывания чего либо на порядок прозрачнее и понятнее. Фильтры по пакетам, у Микротик, гораздо богаче . Текущие соединения не рвутся, конфигурируй и добавляй – одно удовольствие. Единственный плюс, это наверное дружба с потоковым антивирусом.

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)

Ваш отзыв