Здравствуйте.

Третий день бьёмся с проблемой.
Есть два DFL, подключены WANами к белым IP в интернет, нужно настроить PPTP туннель так, чтобы любой компьютер из одной сети мог видеть любой компьютер второй сети и наоборот.

DFL 800: LAN1 192.168.5.1 / 255.255.252.0
DFL 870: LAN2 192.168.50.1 / 255.255.248.0

Мы подняли туннель.
DFL 800 - PPTP сервер
DFL 870 - PPTP клиент

С самого DFL 870 пингуются все устройства в сети DFL 800, а вот с 800-ки ничего не видно. Компьютеры в сети 870 видят всю сеть 800, но наоборот ничего не работает.

Уже начинаю сомневаться, технически возможно это настроить?
Может есть какой-то мануал или уже поднималась подобная тема? Ничего не могу найти...

По идее нужно не много: правила, разрешающие трафик из LAN в туннель и обратно на обоих DFL и маршруты пакетов из 192.168.5.0 в 192.168.50.0 через туннель и обратно из 192.168.50.0 в 192.168.5.0 также через туннель.

Гораздо проще и эффективнее настроить IPSec тоннель между железками с внешними IP.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вот есть годами и сотнями настроек проверенная инструкция

http://www.dlink.ru/ru/faq/85/479.html

Сверьтесь с ней. Хотя она не для соединения сетей, а для подключения удаленных клиентов.

В целом вопрос несложный. Судя по вашему описанию, у вас в настройках клиента на сервере может быть не верно указана сеть за клиентом "Networks behind user:". Этого в указанной инструкции нет, но необходимо для объединения сетей офисов.

Как обычно, надо
1. проверить наличие верного маршрута
(Status-Routes, динамический маршрут до сети клиента с флагом "DA".)
2. и IP-правила, разрешающие нужный трафик.

Да. IPsec рекомендуется как много более безопасное решение.

И, разумеется, рекомендуются наиболее стабильные последние прошивки.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Всем огромное спасибо, всё сделали!
Отдельная благодарнасть YuriAM, у нас действительно не было:
1) Дополнительного корректного маршрута с флагом DA, кроме единственного, который создаётся автоматически при создании сервера
2) Не была указана сеть за клиентом "Networks behind user:" (т.к. в представленном мануале Сервер-Пользователь этого не надо делать, сами не докумекали)
3) При объединении сетей в Шаге 12 мануала необходимо указать в качестве IPPool подсеть клиента!

Из всего этого есть очень важный вывод, который для меня не был очевиден изначально.
У нас, например, к одному PPTP серверу на DFL подключаются снаружи несколько DFL как клиенты. И сделать двусторонне прозрачными LAN сети "основной DFL - DFL клиент" можно будет только если на всех клиентских DFL будет одна LAN подсеть. Если же со стороны клиентских DFL LAN подсети разные, то увы... только DFL клиент будет видеть сеть DFL сервера, в обратную сторону можно настроить ручками, но только с помощью статических маршрутов на локальных компьютерах со стороны сервера.

С точки зрения построения правильной территориально-распределенной сети делать единую нумерацию крайне не рекомендуется. Маршрутизация между локальными подсетями - более правильное решение. Ну это уж на крайняк, если никак маршрутизацию не получается прописать (как на старых мыльницах), тогда только применяют способ объелинения сетей при помощи расширения маски.

Вот именно поэтому и рекомендуется связывать офисы тоннелями IPSec. Выше секъюрнось, удобнее управлять, маршрутизировать, предоставлять и/или разграничивать доступ из одной подсети в другую. На эту тему Вам были даны 2 последние ссылки.
А для пользователей уже поднимать PPTP или L2TP серверы.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

И меня на схему дописали....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...