DFL-800 (подсеть А) держит два VPN туннеля к двум другим подсетям (B и С). Трафик свободно ходит между A-B и А-С. Что нужно прописать на DFL, что бы он маршрутизировал трафик между B-C? Не пускает никак...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо, теперь понятно.

Все-таки есть еще не совсем понятный момент. Все сделано в соответствии с мануалом.
Пинг проходит в обе стороны как В-С, так и С-В со всех хостов, к любым хостам в этих подсетях.
Но, если взять какие-нибудь определенные хосты, например В1 и поставить на нем постоянный пинг к С1, то в это время, обратный пинг с хоста С1 к В1 проходить не будет, и начнет проходить только, когда пинг на хосте В1 выключат.

То есть, между двумя конкретными хостами, работает так – В-С ИЛИ С-В, но одновременно, В-С И С-В – не работает. При этом, с этих хостов, можно пинговать любые другие хосты, кроме тех, с которых пингуют их.
Черт, как это вообще возможно и в какую сторону смотреть...

Куда смотреть, конечно, нашел, но легче пока не стало. В описанной ситуации, пакеты дропает по правилу LogReverseOpens, с пояснением, что reverse_connect_attempt. Описание из мануала -
"LogReverseOpens
Determines if NetDefendOS logs packets that attempt to open a new connection back through one
that is already open. This only applies to TCP packets with the SYN flag turned on and to ICMP
ECHO packets. In the case of other protocols such as UDP, there is no way of determining whether
the remote peer is attempting to open a new connection."

Но при первом возврате пакета, вроде, флаг SYN должен оставаться, то есть почему он путается в открытых подключениях и что с этим делать?

Проходила уже такая проблема и честно говоря не помню, решилась ли
Попробуйте System > Advanced options > TCP settings > TCP Reserved Field = Ignore

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Попробовал - ничего не поменялось. Кажется, из тех проблем на которую проще забить чем решить. Но, осадочек остался.

Сделайте Allow правила между сетями с применением сервиса ping-outbound + включите в его параметрах обрабатывать все типы ICMP на вкладке ICMP parameters

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc