2640 (1.22) в режиме роутера (MER,PPTP, БелИнфонет), NAT Enable,Firewall Disable (так нужно со слов техподдержки) - иначе PPTP не подниется.
Virtual Server назначен на ип ТС - 192.168,10,10. модем имеет статик ип - доступ по WAN /telnet работает.
Юзеры по локалке нормально работают с ТС. а из вне не получается...

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 192.168.10.10
ACCEPT udp -- anywhere 192.168.10.10 udp dpt:3389
ACCEPT tcp -- anywhere 192.168.10.10 tcp dpt:3389
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/S
YN TCPMSS clamp to PMTU
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/S
YN TCPMSS clamp to PMTU

в DMZ и PortTrigering - пусто.

что еще нужно?

Firewall необходим для работы Virtual Server.

отключеный файервол - указание провайдера.
на их сайте и вашем аналогичные инструкции - фаер отключен.
вкл. файер - PPTP не поднимается.

че делать?

файервол всетаки включили. роутер перезагрузили.
теперь имеем
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 192.168.10.0/24 anywhere udp dpt:30006
ACCEPT tcp -- anywhere anywhere tcp dpt:30005
ACCEPT all -- anywhere 192.168.10.10
ACCEPT udp -- anywhere 192.168.10.10 udp dpt:3389
ACCEPT tcp -- anywhere 192.168.10.10 tcp dpt:3389
ACCEPT all -- anywhere anywhere state RELATED,ESTAB
LISHED
ACCEPT !esp -- anywhere anywhere MARK match 0x100000
00/0x10000000
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,A
CK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/S
YN TCPMSS clamp to PMTU
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/S
YN TCPMSS clamp to PMTU

доступа к ТС не появилось?

поскольку через WAN закладка NAT не активна, можно(нужно) ли еще чтонить сделать телнетом?

Если "доступ по WAN /telnet работает", то наиболее вероятная причина - на ТС не указан шлюз по-умолчанию.

И ещё, RDP использует только TCP.

Если "доступ по WAN /telnet работает", то наиболее вероятная причина - на ТС не указан шлюз по-умолчанию.


На ТС стоит шлюзом ип роутера - 192.168.10.100
в самом роутере используется шлюз провайдера.
как проверить чтобы убедится - виноват роутер или провайдер или я?

Очень просто - заходим на ТС и в браузере набираем http://www.whatsmyip.org/.

Если страничка загрузилась, то сравниваем IP, под которым мы видны из внешнего мира (Your IP Address is) с IP, который выдал провайдер модему. Если они не равны, то у вас "серый" IP и решение без вмешательства провайдера невозможно.

В случае, если эти адреса равны (у вас белый IP), тогда заходим на http://www.whatsmyip.org/ports/ и в поле "Port Number" набираем наш 3389. Жмём кнопку "Check port". Надпись "Port 3389 is Open" говорит о том, что всё настроено верно и подключение на ТС "из вне" возможно.

В самом же модеме должно быть всего 2 строчки:

1. По команде iptables -L FORWARD должна быть строка
ACCEPT tcp -- anywhere 192.168.10.10 tcp dpt:3389

2. По команде iptables -t nat -L PREROUTING должна быть строка типа
DNAT tcp -- интерфейс_с_внешним_IP anywhere tcp dpt:3389 to:192.168.10.10:3389

И ещё, на время экспериментов, отключите файерволл на ТС (быть может на самом ТС установлен запрет на подключения из других сетей), если таковой там имеется.

# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 192.168.10.0/24 anywhere udp dpt:30006
ACCEPT tcp -- anywhere anywhere tcp dpt:30005
ACCEPT tcp -- anywhere 192.168.10.10 tcp dpt:3389
ACCEPT all -- anywhere anywhere state

# iptables -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT udp -- anywhere 192.168.10.100 udp dpt:domain to: DNS провайдера
DNAT tcp -- anywhere anywhere tcp dpt:3389 to:192.168.10.10

проверка портов
Check any specific port you need tested. Port 3389 is Closed

в локалке netstat -n
TCP 192.168.10.10:3389 192.168.10.2:1579 ESTABLISHED
TCP 192.168.10.10:3389 192.168.10.4:1044 ESTABLISHED
TCP 192.168.10.10:3389 192.168.10.5:1034 ESTABLISHED

куда дальше копать?

Внешний IP у модема белый?

белее некуда

80,23,21 - открыты.
и кстати по телнету такой синтаксис правильный?

iptables -t nat -A PREROUTING -p tcp -d белыйадрес --dport 3389 -j DNAT --to-destination 192.168.10.10:(тут 3389 надо?)

как сохранить эти настройки? т.к. после команды - порт открывается, но при ребуте роутера опять закрывается.
по идее должен быть эквивалент этой строке в вэб-интерфейсе роутера - Routing? IP Filtering?

осталось чуть-чуть... братцы,хелп!

Проброс порта - это стандартная функция для устройств 2640 и настраивается она в разделе "Virtual Server" через web-интерфейс. Другое дело, что этот самый web-интерфейс у разных моделей (H/W Ver: B (http://www.support.dlink.com/emulators/dsl2640b/306041/scvrtsrv.html?action=view), H/W Ver: C (http://forum.dlink.ru/viewtopic.php?p=398709#398709)) отличается внешним видом. И так как скринов вы не предоставили, то чтобы не было путаницы, проще посмотреть через iptables. По номеру версии прошивки (1.22) могу предположить, что у вас H/W Ver: C1, а значит настройки делаются в "Advanced Setup" --> "NAT" --> "Virtual Servers". В вашем случае "Server IP Address" равен 192.168.10.10, протокол TCP, а все порты равны 3389.

так оно и есть - в Virtual Server выставлен Terminal Server Win2000 порт TCP 3389 - но похоже этого мало или работает не полностью.

-
пробывал включать - не влияет.


через iptables порт открывается - значит должен работать, но почему не сохраняется?
хоть провайдер настоятельно рекомендовал 1.22 - завтра попробую 1.24.

Несмотря на то, что обновиться всё таки следует, боюсь, что к желаемому результату это не приведёт, т.к. в устройстве DSL-2640U (H/W Ver: C1, RU_1.24) настройка NAT через web-интерфейс не предусматривает выбор какого-то определённого сетевого интерфейса (в вашем случае PPTP), по которому производится входящее подключение, а выбираются ВСЕ из списка WAN, где этот самый PPTP отсутствует напрочь.

Это означает, что если у меня есть 2 настроенных соединения в разделе WAN (пусть это будут ppp_0_0_35_1 и ppp_0_1_32_1), и я хочу чтобы

- входящее соединение на TCP 3389 по интерфейсу ppp_0_0_35_1 направлялось на внутренний хост 192.168.1.50

- входящее соединение на TCP 3389 по интерфейсу ppp_0_1_32_1 направлялось на внутренний хост 192.168.1.200

то через web-интерфейс это сделать не получится. А вот через iptables - пожалуйста.

Остаётся надеяться, что разработчики расширят функционал web-интерфейса данного устройства.

да - 1.24 не подошла, пришлось вернуться на 1.22
проблема осталась
открываю порт через iptables и включил роутер в ИБП, т.к. при перезагрузке команда не сохраняется - пока как-то так.

попробую еще пару роутеров - есть и "чистый 2640U" и С2.
может глюк в роутере?

Здесь: http://forum.dlink.ru/viewtopic.php?p=691313#691313