D-link DFL-860E

Пример настройки межсетевого экрана D-Link DFL-860E

В данном документе описаны основные шаги и принципы, которые нужно учитывать при работе с межсетевым экраном D-Link DFL-860E. Роутер является достаточно продвинутым для использования в сложных конфигурациях и обладает широкими возможностями. На данном примере хорошо видно как эти возможности можно использовать при одновременном подключении двух провайдеров, один из которых – Beeline(бывшая Корбина), отличающийся нетривиальностью подключения

Надеюсь что прошивку Вы обновили на заводскую! Иначе дальше можете не читать.

Последовательность действий:

1. Создание адресной книги
2. Конфигурирование интерфейсов
3. Настройка маршрутизации
4. Настройка правил безопасности
5. Конфигурирование VPN сервера
6. Настройка маршрутизации VPN
7. Настройка правил безопасности

1. Устройство сети

Сеть состоит из внутренней сети LAN, Сети DMZ

Снаружи подключено два провайдера. Один провайдер – Corbina (Корбина) или Beeline (Билайн) подключен к интернет через соединение l2tp с получением динамического IP адреса. Второй провайдер ПТН, подключен через ADSL модем с прямым статическим IP адресом.

Необходимо обеспечить выход офисной сети в интернет через канал Корбины, и обеспечить работу внутренних сервисов через второго провайдера ПТН.

Вся сложность в том, что интернет-соединение от Корбины имеет динамические параметры.

Последовательность шагов настройки роутера D-Link DFL-860E

2 Создание адресной книги D-Link DFL-860E

В таблицу адресов вносятся адреса объектов которые взаимодействуют с роутером

3 Конфигурирование интерфейсов D-Link DFL-860E

Настройка соединения с интернет-провайдерами. В DNS ничего не меняем. Все адреса будут присвоены провайдером автоматически. Или если во внутренней сети уже существует DNS сервер

Настраиваем интерфейсы. Заходим во вкладку Interfaces–Ethernet

Wan1 подключен к Корбине. Адрес получает автоматически.

Вкладка Hardware по умолчанию

Во вкладке Advanced проверяем назначение метрики, и автоматическое добавление маршрутов

WAN2 подключен к ПТН, через ADSL модем, который работает в режиме моста. Адреса на этот интерфейс задаются в адресной книге

Если этот интерфейс у нас является вспомогательным, те весь трафик по умолчанию идет через Корбину, то на него необходимо прописать метрику больше чем для интерфейса Wan1. Надо отметить, что в сложном маршрутизаторе маршрут по умолчанию всегда должен быть один. У основного маршрута всегда метрика должна быть меньше чем у других. Одинаковые метрики для маршрута по умолчанию ведут к раздвоению пакетов и неработоспособности многих сервисов.

Корбина известна своим геморройным подключением через сервис L2TP и PPTP. Для этого идем в PPTP/L2TP Clients и настраиваем соединение. Для того что бы интерфейс получил правильные адреса и таблицу маршрутизации необходимо правильно прописать удаленный хост. Дело в том, что у Корбины адрес хоста определяется автоматически. Прописываем туда следующую запись: DNS:internet.beeline.ru. Достоинство данного роутера в том, что он может разрешать адрес удаленного хоста. К сожалению, не все роутеры, даже продвинутые имеют такую настройку.

Во вкладке Security почти ничего не меняем, а во вкладку Advanced прописываем метрику и MTU

С метрикой надо поподробнее:

Из текущих настроек наименьшую метрику имеет интерфейс WAN1 значение – 100. А L2tp- client имеет значение 120. Т.е весь трафик по прежнему будет идти во внутреннюю сеть Корбины. А нам нужно, чтобы весть трафик из внутренней сети шел уже через новое L2TP-соединение Установить метрику L2TP-Клиента меньше чем на WAN1 мы не можем, потому, что тогда интерфейс от Корбины не получит настройки и таблицу маршрутизации и L2TP-соединение не установится. Поэтому метрика изначально ставится больше. Когда интерфейс L2TP получит все адреса и туннель будет установлен, тогда таблицу маршрутизации можно будет менять динамически. Для этого и будут использоваться динамические правила маршрутизации.

Обратим внимание, на метрику на интерфейсе L2tp -110, которая больше метрики на wan1 -100

Весь трафик идет через wan1, во внутреннюю сеть Корбины. Следующий пункт делает возможным направление интернет трафика из внутренней сети в установившееся l2tp соединение

4 Настройка таблиц динамической маршрутизации для правильного направления трафика D-Link DFL-860E

Смотрим основную таблицу:

Как видим есть 3 маршрута с разными метриками. Основной маршрут с метрикой 100

Маршрут в интернет соединение Корбины L2TP с метрикой 110

Запасной маршрут в ПТН с метрикой 120

Задача трафик из внутренней сети Lan пустить через l2tp канал Корбины

Создаем для этого еще одну таблицу маршрутизации forward_routing

В этой таблице запись 1 – маршрут всего трафика через интерфейс L2TP с метрикой 80. Включаем мониторинг маршрута. Когда этот маршрут становится не доступен, то начинает работать запись 2, которая пускает весь трафик в интерфейс wan2 через запасной канал ПТН

А теперь самое интересное

Идем в раздел Routing Rules и создаем правила для таблиц маршрутизации

Правило 1- short_lan_to_corbina дает возможность динамического применения таблицы маршрутизации

В случае если источник находится в сети Lan и, направляется согласно метрике в основной таблице в Wan1, к нему применятся таблица маршрутизации forward_routing, которая направляет его в интерфейс L2TP. Для приходящих обратно пакетов работает таблица main

Для того чтобы наружу могли работать внутренние сервисы, необходимо создать еще одно правило: short_corbina_back, согласно которому, входящие пакеты приходящие на интерфейс L2tp_corb должны направляться согласно основной таблице main, а возвращаться согласно той же таблицы forward_routing

Для того что бы через интерфейс wan2 можно было раздавать сервисы из внутренней сети в интернет необходимо создать динамическое правило для входящих пакетов. Сначала создается дополнительная таблица маршрутизации forward_routing2

В ней создается маршрут по умолчанию с метрикой 80 для интерфейса wan2

Для того чтобы входящие пакеты с интерфейса wan2 могли попасть во внутренню сеть и выйти обратно через тот же интерфейс wan2 необходимо создать еще одно правило: short_wan2_back

Согласно этому правилу, входящий пакет с интерфейса wan2 разгуливается согласно основной таблицы маршрутизации main, а обратный пакет направляется согласно таблицы forward_routing2. Таким образом можно заставить правильно работать, например, web-сайт, который находится во внутренней сети через запасной канал wan2. Пакеты будут правильно приходить и уходить через один и тот же интерфейс.

5 Настройка правил безопасности D-Link DFL-860E

Правило 2 разрешает пинг маршрутизатора из локальной сети

Правило 3 в данной папке включает NAT от интерфейса L2TP Корбины во внутреннюю сеть

Правило 2 в данной папке включает NAT через интерфейс второго провайдера во внутреннюю сеть

Правило 1 в данной папке позволяет пинговать внешний IP адрес L2TP интерфейса

Правило 2-5 проброс сервиса ftp из внутренней сети через интерфейс L2TP Корбины в интернет

Правило 6 включает преобразование адресов NAT на интерфейсе L2TP Корбины

Правило 1-13 проброс внутренних сервисов через интерфес WAN2 второго провайдера в интернет

Правило 14 включает преобразование адресов NAT на интерфейсе WAN2 второго провайдера

6 Конфигурирование VPN сервера D-Link DFL-860E

Данный маршрутизатор можно использовать как L2TP –Сервер для подключения удаленных пользователей через защищенное соединение по протоколу IPSEC.

Заходим в Authentication Objects

Создаем новый Preshared key

Заходим в interfaces/IPSec и создаем новый интерфейс

Вкладка General:

Вкладка Authentication. Выбираем Presharedkey который мы создали ранее

Во вкладке Routing отмечаем автоматическое добавление маршрута

Заходим в меню PPTP/L2TP Servers и добавляем новый сервер:

Заходим в User Authentication/ Local User Databases и создаем базу для удаленных пользователей:

После чего создам самих удаленных пользователей

Идем в User Authentication /User Authentication Rules и создаем правило аутентификации. Привязываемся там ко всем объектам, которые мы создали ранее

Во вкладке Authentication Options выбираем базу данных для удаленных пользователей.

7 Настройка маршрутизации для VPN . D-Link DFL-860E

При установке канала в основную таблицу маршрутизации автоматически добавляются интерфейсы VPN подесети. Основная задача – это разрешить трафик туда, куда нужно

8 Настройка правил безопасности D-Link DFL-860E

Разрешаем хождение трафика во внутреннюю сеть и в сеть DMZ

При желании можно правила ужесточить и назначить только специфические сервисы

Все пожелания по данному документу прошу направлять Егорову Ярославу – инженеру Компании «Глобал-Админ»

Контакты на сайте www.globaladmin.ru

Любое использование материалов данной статьи разрешаются с указанием автора и ссылкой на источник www.globaladmin.ru

Версия PDF: Настройка DFL D-Link c двумя провайдерами

Previous Entry | Next Entry

Огонь и стены нашей сети: Настройка файервола D-Link DFL-260

Сейчас компьютерные сети все глубже проникают в нашу повседневную жизнь. Организация и настройка домашней сети перестала быть уделом энтузиастов и по сути уже является необходимостью. Сделать возможным одновременный выход в Интернет с нескольких домашних компьютеров и обеспечить безопасность от угроз – насущная проблема, которую теперь приходится решать домашним пользователям. В данном материале мы кратко расскажем о принципах сетевой безопасности на примере файервола D-Link DFL-260.

Что есть файервол?

Было бы неправильно не сказать пару слов об этом классе устройств в целом. Файервол, или по-другому – межсетевой экран, представляет собой шлюз между внутренней и внешней сетью. Таким образом, в его задачи входит обработка запросов от внутренних пользователей и блокирование всех угроз и попыток совершить вторжение извне. По принципу своей работы файервол практически полностью идентичен домашнему интернет-маршрутизатору или интернет-шлюзу. Однако отличия кроются в большей производительности и расширенной функциональности, позволяющих быстро и гибко управлять сетевым трафиком.

D-Link DFL-260 – яркий представитель из разряда недорогих межсетевых экранов. Он оснащен одним портом WAN (для связи с внешним миром), четырьмя портами LAN (для подключения домашних компьютеров) и портом DMZ (DeMilitarized Zone), который пригодится, в случае если ты захочешь поднимать дома сервер, к которому будет необходимо разрешить доступ из Интернета.

Интерфейс настройки

Одним из основных достоинств файервола D-Link является интуитивно понятный веб-интерфейс настройки. Несмотря на простоту, это мощный инструмент для использования всех возможностей данного устройства. В основе лежит идея создания новых объектов/переменных, которые интегрируются в общую среду. Скажем, ты создаешь объект «wan_ip» – IP-адрес на WAN-интерфейсе, задаешь значение и после этого можешь использовать данную переменную при создании правил фильтрации/маршрутизации и др. Таким образом, не обязательно помнить, какой именно IP-адрес задан на интерфейсе (ведь он может выдаваться динамически с DHCP-сервера), значение переменной автоматически будет использоваться всеми функциями. Такой подход применяется не только к значениям IP-адресов. Фактически это основной принцип выстраивания всех настроек данного файервола.

Базовые настройки

Прежде чем переходить к опциям безопасности, в двух словах приведем базовые настройки, необходимые для функционирования устройства в сети. По умолчанию файервол имеет IP-адрес 192.168.1.1, а веб-интерфейс откликается только через SSL HTTP соединение, то есть в адресной строке браузера следует вводить https://192.168.1.1/. Дефолтные логин и пароль – admin/admin. На выбор присутствуют несколько языков интерфейса, в числе которых есть и русский. Таким образом, незнающим иностранных языков не придется копаться в словаре в процессе конфигурирования устройства.

Прежде всего, следует задать параметры интерфейсов. Для этого необходимо перейти в закладку «Интп0фейсы», а затем – в «Ethernet». Там присутствует три интерфейса: LAN, WAN и DMZ. Если с первыми двумя все более-менее ясно, то DMZ в данном случае – это не только физический порт, но и полноценный интерфейс, на который распространяются все функции маршрутизации данного файервола. Для WAN-интерфейса доступно задание статических или динамических настроек IP. В случае же необходимости создания дополнительных соединений (как то PPPoE, PPTP или L2TP) следует перейти к разделу «PPPoE» или «Клиенты PPTP/L2TP», добавить новый субинтерфейс, в настройках которого его следует привязать к физическому WAN-интерфейсу. Кстати, если адрес VPN-сервера требуется задать в виде URL, то в соответствующем пункте настроек необходимо его прописать в виде «dns:domain_name».

Для автоматической выдачи сетевых настроек домашним компьютерам следует поднять DHCP-сервер. Его настройка осуществляется в разделе «Система – DHCP». В общих настройках задается, на каком интерфейсе сервер должен ожидать запросов, а в дополнительных опциях прописываются, собственно, значения параметров, которые сервер будет выдавать клиентам: адреса DNS-серверов, основной шлюз и WINS-серверы.

Правила фильтрации

Теперь перейдем к функциям обеспечения безопасности. Первым пунктом у нас будет создание правил разрешения/запрета того или иного трафика. Сразу хочется отметить, что для обеспечения максимальной безопасности стоит отталкиваться от общего принципа «разрешения только того, что необходимо, и запрещения всего остального».

Итак, перед нами появляется список всех созданных правил. На каждое правило распространяется одно из возможных действий: сбросить (drop), отклонить (reject), быстрое перенаправление (fast forward), разрешить (allow), транслировать (SAT или NAT) или мультиплексировать (Multiplex SAT). Разберемся по порядку. Первые два действия отличаются тем, что в одном случае файервол просто игнорирует запрос (так называемый невидимый режим), а во втором отправляет пакет о закрытии IP-сессии. В целях безопасности предпочтительнее использовать первый вариант, так как во втором варианте файервол явно подтверждает свое присутствие в сети. Все остальные варианты действий – разрешающие. Fast Forward и Allow разрешают маршрутизирование трафика, однако не обеспечивают трансляции адресов, которая необходима для доступа из внутренней сети в Интернет. Таким образом, для всех разрешающих правил из LAN в WAN необходимо выбирать NAT. Он, как известно, позволяет «пользоваться» одним внешним IP-адресом нескольким внутренним. Если же компьютер один или провайдер выдает по контракту несколько внешних IP-адресов, можно каждому домашнему компьютеру сопоставить один внешний IP-адрес. Делается это с помощью SAT, который позволяет транслировать все номера портов с внутреннего IP на внешний и в обратную сторону. Последний вариант – мультиплексирование SAT – пригодится только для переадресации широковещательных (multicast) потоков во внутреннюю сеть.

Что касается отличий разрешающих действий быстрого перенаправления от обычного, то они кроются в принципе работы файервола. Они бывают stateless и statefull. В первом случае каждый пакет рассматривается как отдельный элемент, и, соответственно, принимается решение о его разрешении/запрете вне зависимости от последующих действий запрашивающей стороны. Statefull-фильтры следят за всей сессией передачи данных, поэтапно принимая решение о продолжении соединения. Разумеется, в последнем случае достигается большая защита от нежелательных «гостей». Так вот, быстрое перенаправление (fast forward) отключает функции statefull-инспекции для данного правила.

Для более наглядного объяснения создадим три правила: разрешающее запросы из локальной сети в Интернет, разрешающее доступ к торрент-клиенту из Интернета и запрещающее все остальное.

Выбираем действие NAT, так как понадобится трансляция многих внутренних адресов на один внешний, в качестве сервиса выбираем пункт «all_services», источник интерфейс и сеть – lan/lannet, назначение – wan/all-nets. Это правило разрешает и транслирует запросы из внутренней сети любых сервисов. Но, например, такие программы, как торрент-клиент, создают не только исходящие соединения, поэтому для более эффективной работы они должны иметь возможность приема входящих. Для этого создадим еще одно разрешающее правило. Но предварительно потребуется создать сервис с номером порта, соответствующим таковому в настройках торрент-программы.

Переходим в раздел «Объекты – Сервисы» и добавляем новый сервис с именем torrent. Он использует протокол TCP, а номер внешнего и внутреннего портов, как уже говорилось, должен соответствовать тому, что задано в программе клиенте. Допустим, в нашем случае это 14875. Возвращаемся к разделу «Правила – IP-правила». Создаем новое правило со следующими настройками: действие – SAT, сервис – torrent, источник – wan/allnets, назначение – lan/внутренний IP-адрес компьютера с torrent-клиентом. Не нажимая, сразу переходим к закладке SAT, где выбираем «перевести IP-адрес назначения» и указываем IP-адрес компьютера с torrent-клиентом и порт 14875. Теперь торрент-клиент сможет принимать входящие соединения.

Ну и последнее, но, пожалуй, самое важное правило запрета всего остального. Его параметры таковы: действие – drop, сервис – all_services, источник – any/all-nets и назначение так же any/all-nets. Кстати стоит заметить, что первые или находящиеся в списке выше правила имеют больший приоритет, чем нижние. Иными словами, перед принятием решения файервол начинает просматривать список сверху (начиная с первого правила) до тех пор, пока не найдет то, которое соответствует всем критериям поиска. Поэтому если поместить правило запрета на все первым в списке, файервол будет запрещать все действия вне зависимости от того, какие еще правила присутствуют в настройках фильтрации.

VPN-туннелирование

Этот раздел пригодится тем, кто собирается использовать данный файервол для связи удаленных офисов. Итак, есть задача обеспечить конфиденциальную связь между двумя территориально удаленными точками. Очевидно, что придется использовать общедоступные каналы связи, это либо Интернет, либо телефонные сети. С точки зрения дешевизны и скорости предпочтительнее использовать Интернет. А чтобы обеспечить безопасность и конфиденциальность передаваемых данных, организовывается защищенный VPN-туннель. Чаще всего используются IPSec-туннели, хотя в ряде случаев можно использовать протоколы PPTP/L2TP. Также сейчас активно популяризируется применение SSL-туннелей, однако поскольку D-Link DFL-260 не поддерживает работу с таковыми, поговорим о первых трех.

IPSec

Для начала необходимо создать ключ, который будет использоваться для аутентификации. Переходим в раздел «Объекты – Объекты аутентификации» и создаем новый ключ (IPSecKey). Значение можно ввести в виде фразы (набора символов) или в виде шестнадцатеричного ключа. Также возможно создать ключ случайным образом. Далее открываем закладку раздела «Интерфейсы – IPSec» и добавляем новый туннель. В общих настройках выбираем локальную сеть – ту, которая является внутренней для данного файервола, удаленную сеть – ту, которая будет внутренней для удаленного файервола, удаленный конечный узел – внешний IP-адрес удаленного файервола, режим инкапсуляции – туннель, алгоритмы IKE/IPSec – high. Переходим в закладку «Аутентификация», выбираем использование предустановленного ключа и указываем его имя. Далее в закладке «Маршрутизация» ставим галочку около пункта «Динамически добавить маршрут в удаленную сеть, когда туннель установлен». Жмем [ok] – туннель создан. Последнее, что потребуется сделать на данном файерволе, – создать правило, разрешающее трафик из локальной сети в туннель и обратно. Тут надо отметить, что трансляция NAT в данном случае не потребуется, так как маршрут до удаленной сети будет добавлен в таблицу маршрутизации автоматически, и файерволы с обоих концов будут знать о существовании друг друга и путей следования трафика. Таким образом, следует просто разрешить двусторонний обмен внутри туннеля. На удаленном маршрутизаторе следует произвести аналогичные действия по настройке. Разница будет только в параметрах адресов локальной и удаленной сетей и конечного узла.

PPTP/L2TP

В случае с протоколами PPTP/L2TP схема организации туннеля несколько иная. С одной стороны настраивается серверная часть, которая ждет «звонков» от клиентов. Соответственно, в первую очередь нужно создать пользовательскую базу данных. Создаем таковую в закладке «Аутентификация пользователей – Локальные базы данных пользователей». Далее создаем в базе пользователя (или нескольких). Все что потребуется указать, это имя/логин и пароль.

Далее создаем собственно PPTP-сервер. Переходим к закладке «Интерфейсы – Серверы PPTP/L2TP». В общих настройках указываем имя сервера (произвольно), внутренний IP-адрес (адрес сервера внутри туннеля, например, 172.16.1.1), протокол туннелирования – PPTP, фильтр интерфейсов WAN и IP-адрес сервера – wan_ip. Далее в закладке параметров PPP указываем пул выдаваемых клиентам IP-адресов (например, 172.16.1.10-172.16.1.20). Теперь файервол будет ожидать соединений на внешнем (WAN) интерфейсе, а после корректной авторизации открывать туннель и выдавать пользователям IP-адреса из указанного пула.

Но это еще не все. Переходим в раздел «Аутентификация пользователей – Правила аутентификации пользователей» и создаем новое правило. В качестве агента указываем PPP, источник аутентификации – Local (при наличии в сети централизованного RADIUS-сервера можно использовать для авторизации его базу), интерфейс – pptp_server, IP-адрес источника – все сети, адрес терминатора – адрес PPTP-сервера на внешнем интерфейсе (wan_ip). В закладке «Опции аутентификации» указываем имя локальной пользовательской базы, а в опциях PPP-агента – допустимые протоколы авторизации. Остается только настроить правило, разрешающее обмен информацией между PPTP-клиентами и ресурсами внутренней сети.

Настройка со стороны клиента куда более прозрачна. В разделе «Интерфейсы – Клиенты PPTP/L2TP» создаем нового клиента. В настройках указываем используемый протокол – PPTP, удаленный конечный узел – внешний IP-адрес PPTP-сервера, удаленная сеть – либо только внутренняя сеть, находящаяся за PPTP-сервером, либо все сети, если доступ в Интернет будет обеспечен также через PPTP-сервер, логин и пароль для авторизации. Также нужно не забыть создать правило для разрешения трафика через PPTP-соединение.

Поскольку L2TP-туннель использует для шифрования алгоритмы IPSec, его настройка содержит этапы, схожие с конфигурацией как IPSec-туннеля, так и PPTP. Для начала создается PSK-ключ для авторизации (как и в случае с IPSec), далее пользовательская база и логины (по аналогии с настройкой PPTP-сервера). Далее создаем IPSec-туннель в разделе «Интерфейсы – IPSec». Локальной сетью для него по-прежнему будет являться внутренняя сеть, удаленной сетью может быть как внутренняя сеть удаленного файервола, так и любой IP-адрес (например, при необходимости обеспечения доступа сотрудников компании, где бы они ни находились). Выбираем режим инкапсуляции – транспорт, поскольку IPSec будет отвечать только за шифрование трафика внутри L2TP-туннеля, и, собственно, алгоритмы шифрования. Также не забудь указать используемый ключ в закладке «Аутентификация» и поставить галочку «Динамически добавить маршрут в удаленную сеть, когда туннель установлен» в разделе «Маршрутизация». Далее создаем L2TP-сервер в разделе «Интерфейсы – Серверы PPTP/L2TP». Указываем внутренний IP-адрес сервера в туннеле (например, 172.16.2.1), протокол – L2TP, фильтр интерфейсов – l2tp_ipsec (соединения будут устанавливаться через транспорт IPSec) и внешний IP-адрес сервера (wan_ip). Далее в параметрах PPP указываем допустимые виды шифрования MPPE и задаем пул IP-адресов, которые будут выдаваться клиентам (например, 172.16.2.10-172.16.2.20). Туннель создан.

Остается по аналогии настройкой PPTP создавать правило аутентификации пользователей и добавить правило разрешения прохождения трафика внутри туннеля.

В результате

Итак, интерфейсы сконфигурированы, туннели подняты, настроены аутентификация пользователей и правила фильтрации – можно приступать к работе. Как видишь, небольшая коробочка под названием файервол способна на множество полезных функций по обеспечению безопасного информационного обмена. К слову, рассмотренный в примере файервол D-Link DFL-260 имеет более дешевый аналог – DFL-210, который при сохранении почти всех тех же функций и производительности продается по куда более низкой цене. Таким образом, персональный файерволинг может быть рекомендован к применению не только в офисах, но и в домашних условиях.

Profile

Информационные технологии

Latest Month

August 2010
S	M	T	W	T	F	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

View All Archives

Tags

View my Tags page

Categories

View my Categories page Powered by LiveJournal.comDesigned by Lilia Ahner

Сегодня мне в руки попалась железка верой и правдой служившая валявшаяся в шкафу с момента покупки. даже предыдущий админ не мог сказать нахрена её купили.

В целом возможности этого хардварного gateway’я меня порадовали, но поскольку лог/паса и ip адреса её я не знал мне пришлось выполнить сброс. И так почему я решил об этом написать:

1. В мануале написано что стандартный ip 192.168.1.1 или 192.168.0.1 но по факту ставится 192.168.10.1 (спасибо на форуме подсказали)
2. В прилагавшейся инструкции было написано что логин admin и пароль admin. И с логином они угадали, но вот пароля по умолчанию НЕТ.
3. После сброса (или применения настроек в последствии) нужно успеть залогиниться на его вебморде в течении 30 секунд или настройки вернутся к предыдущему варианту. Всё бы хорошо но на недобуке одного со мной возраста только настройки ip адреса применялись по 25-40 секунд.
4. DHCP по умолчанию включен только для wan1 интерфейса а веб морда пускает на себя только по lan интерфейсам. FUCK THE LOGIC!!! в совокупности с третьим пунктом это создаёт неудобства.

Надеюсь начальства одобрит заявление на покупку CISCO или хотя бы более дешёвого netgear.

Используемые источники:

• http://globaladmin.ru/intrst/stati/dlink1/
• https://daily-it.livejournal.com/51400.html
• https://itrus.su/2015/08/14/d-link-dfl-860e/