Не, я писал ранее, что ключи уже поправленные.
ProhibitIpSec=1
AllowL2TPWeakCrypto=1
AssumeUDPEncapsulationContextOnSendRule=2.
Более того, я могу без проблем подключиться к l2tp-серверу под win2k8.

Вариаций ошибок, кстати, стало больше. Теперь кроме 789 есть 770 и 809.
Прошивка WW, не обрезанная.

Тогда понижать ничего не требуется.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Чем ругаются логи?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Добрый вечер!

В логах пусто было.
Методом проб и ошибок выяснилось, что ProhibitIPSec нужно вообще сносить из реестра, AllowL2TPWeakCrypto устанавливать в 0.
В итоге сделал по мануалу Мой мануал по созданию L2TP сервера на NetDefendOS
И да, в новых прошивках интерфейсы объединять не надо.

Очередной вопрос: а почему после установления VPN-соединения я не могу никуда подключиться в локальной сети?
Правила создал по мануалу, они самые первые стоят, маршрут на клиенте прописал.
Локалка 192.168.0.0/24, гейт 192.168.0.1 маска 255.255.255.255, файловая шара 192.168.0.2.
L2tp-сервер 192.168.1.0.24 гейт 192.168.1.1 маска 255.255.255.255.

Прописал на удаленном клиенте route 192.168.0.0 netmask 255.255.255.0 192.168.0.1, но что-то ничего не изменилось.

Как с этим разберусь еще одни грабли вылезли с подключением.
А для размещения картинок их лучше всего на какой-то шаринг в интернете выкладывать или можно просто прикрутить к посту?

На клиенте в команде route вместо netmask надо писать mask.

Картинки можно выкладывать на Радикал.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Что-то я запутался уже.

Значит что у меня есть.
1. Домашняя сетка: 192.168.0.0/24 gate 192.168.0.1 файопомойка 192.168.0.2 Все пингуется из сети.
2. VPN-сервер: 192.168.1.4/32 IP сервера 192.168.1.1 dns 192.168.0.2.
3. Удаленный комьпьютер: 192.168.60.67 255.255.255.0 шлюз 192.168.60.1

Маршруты создаются по умолчанию. Gate для VPN-подключения нигде не указываю.

Правила на dfl`е три + разрешаю пинг:
1. l2tp-any_nat
action NAT
Services all_services
source Int L2tp-serv sourse Net L2tp_pool
Destination Int BeeLineVPN Destination Nat all-nets

2. lan-l2tp_allow
action Alow
Services all_services
source Int lan sourse Net lannet
Destination Int L2tp-serv Destination Nat L2tp_pool

3. l2tp-lan_allow
action Alow
Services all_services
source Int L2tp-serv sourse Net L2tp_pool
source Int lan sourse Net lannet

4. ping_l2tp
action Alow
Services all_icmp
source Int L2tp-serv sourse Net L2tp_pool
Destination Int core Destination Nat lannet

На удаленном компьютере прописал route add 192.168.0.0 mask 255.255.255.0 192.168.1.1 и получил ошибку gate`а.

Что-то я не понял что и где пошло не так.
Пинга нет, доступа на шару нет. Откуда вылезла ошибка для записи gate`а совсем непонятно.

Это как?
Пурга какая-то...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

А что не так? 192.168.1.4-192.168.1.6, IP сервера 192.168.1.1, dns-ка находится во внутренней сети и имеет IP 192.168.0.2.
Хорошо, если для VPN-клиентов не нравится диапазон, то его можно сделать 10.0.1.4-10.0.1.6 и IP сервера 10.0.1.1. Или диапазон мал? Так к серваку кроме меня подключаться никто не будет.

Максимум, чего добился в итоге - это стал пинговаться IP сервера с клиента.

Вот так можно.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Ок.
Возвращаясь к правилам прохождения трафика.
1. Они точно прописаны?В мануале предлагают использовать NAT вместо ALLOW и часть сетей обозначены как any.
2. Какие интерфейсы необходимо обьединить в группу? WAN и VPN билайна?
Или WAN и IP VPN сервера?
3. Сам IPSec у нас в интерфейсах точно нигде не фигурирует? При настройке PPTP его нет как класс.
4. Если внутренний IP сервера пингуется, то с маршрутизацией должно быть все ок?

Логи я курил, что-то определённое пока сказать не могу, так как какой-то системы не заметил.

Ещё хотел поблагодарить всех за уделенное время, так как в одиночку разобраться в столь нетривиальной задаче самому оказалось просто не под силу.

если nat то ваш принемающий сервер не увидит реального IP , а увидит локальный IP DFL.


для чего ?! Для проброса портов ? или для поднятия VPN на DFL ?
а зачем ему там фигурировать ?
глубоко не факт .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

>если nat то ваш принемающий сервер не увидит реального IP , а увидит локальный IP DFL.
Вот эти правила скопированы из англоязычного официального мануала.

name=AllowL2TP
action=Allow Service=all_services
SourceInterface=l2tp_tunnel SourceNetwork=l2tp_pool
DestinationInterface=any DestinationNetwork=all-nets

name=NATL2TP
action=NAT Service=all_services
SourceInterface=l2tp_tunnel SourceNetwork=l2tp_pool
DestinationInterface=any DestinationNetwork=all-nets

> для чего ?! Для проброса портов ? или для поднятия VPN на DFL
Для поднятия VPN на DFL. На порты я пока забил. Судя по всему порты для адекватной работы сервера в сети надо прокидывать по-другому.

Поставим вопрос по-другому.
Кто готов на возмездной основе показать как настроить сабж?

Настроить l2tp?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да, настроить L2TP-сервер на dfl860e.