1)Есть 2 подключения к провайдеру. Оба подключения VPN. Настроена балансировка между ними.
Необходимо прописать маршрут, чтобы к подсети 172.31.240.0/24 был доступ не через VPN, а через Ethernet интерфейс wan1. Для этого иду в таблицу маршрутизации и создаю маршрут
Interface: wan1
Network: 172.31.240.0/24
Gateway: wan1_gw

Но ресурсы так и не доступны...

2) Интерфейс vpn1 не пингуется из внешних сетей, кроме одной. Никаких правил в файерволе не создавал. доступ для всех должен быть. Почти все настройки стандартные. В какую сторону копать?

Для доступа надо всегда 2 вещи: маршрутизацию и разрешающее правило.

создать правило
NAT lan lannet wan1 Net_172.31.240.0_24 all-services

правило
allow vpn1 all-nets core vpn1_ip ping-inbound

Вновь созданные правила на время отладки всегда помещать выше остальных во избежание вреда от последних.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1) Запустите ping -t в нужную сеть и смотрите Status-Connections, туда ли идет пакет? Потом - Status-Logging.

2) Что за интерфейс - vpn1? РРР клиент поверх wan1? Тогда надо allow-правило, как Юрий советует.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо! С первым пунктом разобрался. Действительно нужно было всего лишь добавить правило NAT для нужной сети. А вот второй вопрос так и не решился... Правило, которое написал Юрий уже было. Однако интерфейс vpn1 для внешних сетей не доступен. Не работает ни проброс портов с этого интерфейса (vpn1), ни пинг vpn1..

P.S: Возможно ли по первому вопросу создать отдельную таблицу маршрутизации, например GOROD и уже там прописать все маршруты, доступные через wan1? Чтобы не захламлять кучей маршрутов таблицу маршрутизации main. А то что-то с маху не получилось. В таком виде трафик не идет по данным маршрутам.
Да, vpn1 - это pptp, поднятый поверх wan1.

Думаю, вам надо это.

viewtopic.php?t=65359&start=14

И опять же. Если вы хотите помощи, описывайте свою задачу МАКСИМАЛЬНО полно. Со всеми неприличными подробностями.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Хорошо, опишу неприлично подробно:)
интерфейс wan1:
Получение настроек по DHCP
Assigned IP: 172.21.144.237
Subnet mask: 255.255.255.128
Broadcast IP: 172.21.144.255
Gateway IP: 172.21.144.129
DNS1: 172.31.240.4
DNS2: 89.105.144.35


Поверх wan1 идет pptp до сервера 172.31.240.5. (маршрут до сервера 172.31.240.5 добавлен в main таблицу маршрутов) При подключении выдается внений ип адрес 93.159....... (vpn1)

2)интерфейс wan2:
Все аналогично интерфейсу wan1. Но провайдер другой. При подключении выдается внешний ип 195.222.171... (vpn2)

3)Создана группа интерфейсов summa=vpn1+vpn2. В правилах lan to wan указан интерфейс назначения Summa

4)Настроена балансировка destanation

5)Для того чтобы интерфейс vpn2 был доступен с внешних сетей, была создана альтернативная таблица маршрутизации и в ней маршрут:

Interface: vpn2
Network: all-nets
Gateway: vpn1_ip
Local IP Address: (None)
Metric: 0

6)Создал правило маршрутизации
Name: Alt_active
Forward Table: main
Return Table: Alt
Service: all_services
Schedule: (None)

Interface Source: vpn2
Network Source: all-nets

Interface Destination: any
Network Destination: all-nets


7)Созданы разрешающие правила

Allow vpn1 all-nets core vpn1_ip ping_inbound
Allow vpn2 all-nets core vpn2_ip ping_inbound
Allow lan all-nets core lan_ip ping_inbound


Настроен проброс некоторых портов с vpn1 и vpn2 на сервер за DFL.

В результате с внешних сетей пингуется 195.222.171... (vpn2) и работает проброс портов с этого интерфейса, но не работает проброс портов и не пингуется 93.159......(vpn1). Вот как-то так.

А вы уверены, что провайдер №1 не блокирует? Например, корбина имеет свой файлвол, его надо отключать.

Самый простой способ - запустите пинг извне (не из вашей точки) и смотрите в подключения/логи.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

покажите всю таблицу main

Нет. У провайдера файрвола нет. До установки DFL-800 доступ на этот интерфейс был с любой сети. К тому же в соединениях если сделать фильтр по адресу источника, то видно, что пакеты приходят.

PING ICMP vpn1:89.105.151.241:512 core:93.159.245.76:512 4

Показывайте таблицы маршрутизации, правила PBR, правила IP.

Видите вы те подключения, которые надо (но не работают)?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

vpn1 в описании выше - multi-net
vpn2 - Golden



Да, все верно.

Что интересно, так это то, что с одного провайдера с диапазоном адресов 94.78....... DFL доступен на обоих интерфейсах! Но со всех остальных провайдеров (которые проверил, естественно) доступа к vpn1 нет.

В правиле PBR замените core на any, вообще можно destination сделать any/all-nets.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Заменил на any all_nets. Не помогло.