Shkiper
Спасибо за советы!


На вкладке Адвансед галки не было и нет.
А если снять галку на вкладке Роутинг, то даже подключение клиента не пройдет.


Там интереснее. Если ставить дополнительно правило Allow на прохождение ICMP-пакетов, то пингуется !ТОЛЬКО! lan интерфейс DFL`ки. Ни server_ip, ни что-либо за DFL`кой не пингуются.
Так вот. Правило для прохождения ICMP трафика у меня вроде бы как есть, оно идет вторым и там указан all_services, что по моим представлениям включает и ICMP. Однако, как я писал выше, пинги в таком случае то ходят, то нет.


Нет таких.

Вопрос-то остался: как мне доступ к внутренним ресурсам сделать? И почему не пингуется ничего во внутренней сети?

может этот маршрут вручную добавлен, его надо все равно удалить
он не нужен, никакой l2tp сети на интерфейсе ipsec фильтра нет, она на интерфейсе l2tp сервера и маршрут динамический


так и должно быть, для пинга ресурсов локальной сети за дфл, нужно отдельное правило, я выше указал какие интерфейсы и сети для этого надо прописывать в правиле (вместо core - lan, вместо ip_lan_dfl - lannet)
отфильтруй соответствующий дроп для наглядности, и также по нему создай правило

если уверен, что правило есть, то должно подыматься соединение (status/routes), если соединения нет, то смотри логи
то что пингуется lan_ip_dfl хороший знак
возможно не пингуется потому что, обратная маршрутизация пытается отработать по этому "левому" маршруту с ipsec
при установке соединения проверяется наличие сети источника (в данном случае по main таблице), а у тебя там этот маршрут

в status/routes динамический маршрут есть при подключении клиента?

Если мы говорим о маршруте №2:



То он задается в свойствах IPSec галкой на вкладке Роутинг и без этого маршрута авторизация клиента на DFL`ке не проходит.
Как я себе представляю, у нас сначала появляется тоннель в котором из сети l2tp-ip_pool разрешена дальнейшая аутентификация, после которой у появляется подключение по l2tp.


Тогда вместо него что необходимо указать?

Я вечером отдельно выложу таблицы маршрутизации до и после подлючения клиента и попробую варианты с сетями у IPSec.

Самая первая папка с правилами, второе правило сверху.



Для первого правила пробовал вариации с Scr if: менял l2tp-ipsec-tunnel на l2tp-serv - перестает пинговаться внутренний интерфейс DFL`ки.

это глюк, этого маршрута не должно быть!
ставь 10.22.01 прошивку (или какая там последняя)
механизм l2tp over ipsec подключения с т.з. маршрутов такой:
сначала создается динамический маршрут на белый внешний IP клиента с интерфейсом ipsec фильтра (в последних прошивках он "за кадром", в статусе не отображается, потому что порождает некоторые неудобства)
следом создается динамический маршрут на l2tp_IP клиента, с интерфейсом l2tp_server
никаких маршрутов в main на l2tp_server или ipsec не должно быть

покажи вкладку адвансед для ipsec и add route для l2tp сервера

первое правило вообще не нужно, при стандартной схеме l2tp over ipsec

У меня DFL-860E. Сейчас стоит последняя прошивка WW 2.60 с оф.сайта в Австралии.
10.22 это от 210го. Прошивки у 210го и 860го точно совместимы?


Т.е. его вообще убираем?


То что у нас не совсем белый IP ни на что не влияет?
Получается что трафик от dfl`ки сначала заворачивается в l2tp до провайдера, затем в наш IPSec и еще раз уже снова в наш l2tp. MTU для l2tp сервера я уменьшил до 1400.


Что в качестве этого фильтра используем?


Ок, вечером сделаю, как дома буду.

ищи ww прошивку, на форуме есть

если соединение устанавливается, то не парься - все норм

Шутник однако )))


Смотри прошивку для 860е на тайваньском сайте.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Выкладываю скрины.

MTRX


Ну почему же, очень неплохой региональный сайт. Прошивки свежие и WW. Куча англоязычных мануалов.


Shkiper

Прошился на 10.20.02.
Маршрут тоннеля снес.
Скрины вроде бы все выложил.

Пинговать lan интерфейс DFL`ки пингую, но в сетке так ничего пропинговать не могу.
Ресурсы все так же недоступны.

Что можно еще посмотреть?

"Владка add route для l2tp сервера"
нижнюю галку поставь

Сделал, ничего не изменилось.

теперь маршрутизация вроде в норме
надо поправить правила
фильтруй и отлавливай "дроп" сообщения, если не понятно, выкладывай сюда