А какой тут правильнее указывать интерфейс если речь идет о всех сетях и всех интерфейсах?

Я тоже...поэтому прошу помощи. Может dst:sat надо завести на 127.0.0.1 ?

Пример написания правил viewtopic.php?p=873935#p873935

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Прочитал. Настроил l2tp по инструкции ссылку на которую привёл чуть выше. В качестве шифрования IPSec включены 3DES и SHA-1 как рекомендовал автор. Теперь получаю от винды другую ошибку -788. Включение других алгоритмов в различных сочетаниях также приводит к 788. В логах DFL - failed_to_select_ipsec_proposal. Может быть кто-нибудь поделиться конфигом с реально работающей l2tp? А то надежды больше не осталось

Вам нужно синхронно прописывать параметры и на клиенте и на сервере. Они у Вас не снюхиваются.

Ошибка 788 Попытка L2TP-подключения не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером. Текущая настройка параметров L2TP несовместима с реализацией протокола L2TP корпорацией Майкрософт.

Источник: http://itcom.in.ua/stati/setevye-tekhno ... nenie.html

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вот Вам наглядный рабочий пример подключения клиентов по SSL к серверу, поднятому на DFL'ке:


Первые 2 правила отвечают за хождение трафика между клиентом и подсетью за DFL'кой
Третье правило разворачивает клиента в Интернет через wan-порт на DFL.

В Вашем случае имеет смысл в первых двух правилах вместо lannet использовать группу подсетей LANs
(подразумевается, что тоннель между lannet1 и lannet2 у Вас уже есть и работает)

lannet1 = 192.168.1.0/24
lannet2 = 192.168.2.0/24
LANs = lannet1, lannet2

Перепиливайте эту идеологию под своего VPN-клиента и будет все хорошо.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Кстати, а кто является у Вас сервером L2TP? какой-то хост внутри локалки или сама DFL'ка?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Сама DFL'ка. Я нашёл ещё один вариант создания l2tp... сделан аж в виде презентации (ppt). И он тоже отличается от всех предыдущих Попробую его отпишусь.

Сама DFL'ка. Я нашёл ещё один вариант создания l2tp... сделан аж в виде презентации (ppt). И он тоже отличается от всех предыдущих Попробую его отпишусь.

Сама DFL'ка. Я нашёл ещё один вариант создания l2tp... сделан аж в виде презентации (ppt). И он тоже отличается от всех предыдущих Попробую его отпишусь.

Скиньте, любопытно взглянуть...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Тогда вам надо просто перепилить под себя два правила и правильно выставить шифрование на клиенте и на сервере.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В дальнейшем, чтобы ограничить клиента, вместо LANs можно использовать группу хостов из серверов. С точки зрения безопасности это разумнее. - добавить одно правило.
А для себя - оставить полностью хождение по локалкам.
Итого вместо двух получится 3 правила.
И четвертое - выход админа в Интернет.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Поскольку уже не помню откуда качал - залил к себе https://yadi.sk/i/C_1Xtjx3cKxVb (How to configure l2tp over ipsec.ppt)

Попробую так...хотя у меня в принципе все подключающиеся клиенты должны иметь полный доступ ко всему
Они ограничиваются уже внутри сети - там домен находится...
Не подскажите как лучше - по LDAP делать авторизацию или по RADIUS'у ?

Лично мне этого делать не было надобности. Пробуйте.
Может кто еще что подскажет...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...