Может я, конечно, не понимаю чего... Имеем DFL-600:
Device Name DFL-600
Hardware Version 2A1
Firmware Version 1.05.b091
Kernel Version 1.10
Driver Version 1.40

При включении любого правила для "IN" имеем следующее:
Даже при разрешении ВСЕХ входящих соединений по порту 1723 пользователь стучится по WAN интерфейсу роутера! и получает отказ - "FILTER_DEFENSE". Указать в правиле WAN IP - невозможно - DFL-600 требует адреса только из LAN (192.168.0.X).
Чуть дальше процесс соединения продвигается, если в разрешающем правиле указать IP пользователя в явном виде (но это не выход - он может быть и динамическим), но даже в этом случае на этапе авторизации происходит попытка установки соединения с WAN IP роутера по порту 0, разрешить которое не представляется возможным.
Пожалуйста подскажите что я делаю не так?
Спасибо.

Не совсем понял что Вы пытаетесь сделать -- разместить PPTP сервер во внутренней сети для внешних клиентов? Огласите схему сети, пожалуйста.

_________________
С уважением -- Александр Шебаронин.

Нет! Что Вы! Речь о том, что при любой включенной политике, удаленные пользователи не могут установить соединение PPTP с DFL-600, который и является "PPTP сервером" (порты на вход 1723 и GRE разрешены).
В Blocking Log появляется запись IP адрес клиента -> IP WAN DFL-600:1723 = FILTER_DEFENSE. Разве так должно быть? Ведь firewall должен фильтровать порты для LAN, а уж блокировать соединения с собственным WAN IP не должен?
ЗЫ
Если установить все политики в "disable" - все работает.
Спасибо.

При заливке необходимо дождаться не только окна "continue". Но и дождаться восстановления связи с DFL-600 (очевидно, я слишком рано нажал reset, поскольку не знал что новый адрес web-интерфейса не 192.168.0.1:8081, а просто 192.68.0.1). А может просто не повезло...