Добрый день.
Возник вопрос по настройке DFL-210 не совсем стандартным образом, т.к. подключен он только WAN портом к жирному интернет-каналу с фиксированным публичным IP. К нему подключаются удаленные VPN клиенты с целью выходить в интернет под IP, на ктором сидит DFL. Это получилось, т.е. клиент на своем компе активирует PPTP соединение к IP адресу DFL-210, условно, 80.70.111.222. Далее на всех сайтах он определяется как пользователь за NAT c IP 80.70.111.222. Но нужно, чтобы к клиенту 1, 2, 3 и т.д. обратно были доступны порты 5561, 5562, 5563 соответственно.
Если пробовать подключить пользователя к LAN порту, то у меня получается использовать SAT, если меняю все аналогично для VPN клиенто - не работает.


http://www.download.su/photo/140e156356

Странно. Должно работать. У меня с подобной (не идентичной) схемой затруднений нет. Все порты стандартно пробрасываются.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

попробуйте в разрешающем правиле для SAT, вместо Allow использовтаь NAT.

Не очень понял как должен выглядеть результат... Может есть у кого-нибудь рабочий пример?

Вместо пары правил
SAT
Allow
используйте
SAT
NAT
Все прочие праметры в правилах одинаковы.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Нет, не получилось. Изменил Allow на NAT не указывая другие параметры, но ничего не изменилось. Не могу достучаться до указанного порта.
На WAN порту DFL-210 IP 80.70.111.222, у клиента 89.113.111.222, подключившись по VPN он получает IP 192.168.55.2, а IP адрес шлюза VPN 192.168.55.254. Интернет у клиента работает и все его обращения в интернет начинают определяться как IP, принадлежащий DFL-210.
В чем заключается отличие в поведении интерфейса PPTP сервера от портов LAN?
К DFL-210 подходит 1 единственный провод к порту WAN, может я неправильно понимаю логику устройства. Могу прислать конфиг, если кто-нибудь возьмется помочь. Я думаю много людей были бы благодарны за готовую конфигурацию, которая позволит избавиться от необходимости внешних IP.

Кому это может быть нужно, примеров много. На работе сталкивались с задачей привязки к базе данных 1 IP, а также к значительному повышению цены за дополнительные IP доступа к шлюзу SMS и т.п.

операция тривиальная и странно что у вас она не работает.
если SAT работает в Lan сеть значит компы из лан сети знают как "вернуть пакет назад", чего видимо не могу машины из VPN., надо смотреть что настройки...


Cделайте логин на просмотр конфига в вашем DFL...и дайте удаленный доступ к нему, инфу скиньте в личку...так будет быстрее и проще чем с пересылкой конфигов...