При подключении к PPTP серверу часть пользователей не может подключиться.
В лог пишутся следующие строки:

Jul 11 14:26:50 dfl-1600 [2008-07-11 14:26:01] FW: PPTP: prio=2 id=02700019 rev=1 event=pptp_tunnel_up iface=vpn_server_UL remotegw=XXX.XXX.XXX.XXX
Jul 11 14:26:50 dfl-1600 [2008-07-11 14:26:01] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:26:53 dfl-1600 [2008-07-11 14:26:04] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:26:56 dfl-1600 [2008-07-11 14:26:07] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:26:59 dfl-1600 [2008-07-11 14:26:10] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:27:02 dfl-1600 [2008-07-11 14:26:13] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:27:05 dfl-1600 [2008-07-11 14:26:16] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:27:08 dfl-1600 [2008-07-11 14:26:19] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:27:11 dfl-1600 [2008-07-11 14:26:22] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:27:14 dfl-1600 [2008-07-11 14:26:25] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:27:17 dfl-1600 [2008-07-11 14:26:28] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=eth_WAN_UL srcip=XXX.XXX.XXX.XXX destip=XXX.XXX.XXX.XXX ipproto=ICMP ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
Jul 11 14:27:20 dfl-1600 [2008-07-11 14:26:31] FW: PPTP: prio=2 id=02700008 rev=1 event=pptp_session_closed iface=vpn_server_UL remotegw=XXX.XXX.XXX.XXX callid=0
Jul 11 14:27:20 dfl-1600 [2008-07-11 14:26:31] FW: PPTP: prio=2 id=02700022 rev=1 event=pptp_tunnel_closed iface=vpn_server_UL remotegw=XXX.XXX.XXX.XXX

Как отключить rule=LogOpenFails ? Поможет ли это решить проблему?

Не соединяется ли часть этих пользователей с одного внешнего IP?

Предположительно, проблемы возникают у тех, кто подлючается через NAT или с "честного" адреса, но сеть провайдера имеет адреса для внутренного использования.

Предположительно, проблемы возникают у тех, кто подлючается через NAT или с "честного" адреса, но сеть провайдера имеет адреса для внутренного использования.

Вы не предоставили никиких данных могу только догадываться. Мне кажется проблема в том, что несколько пользователей скрыты за одним NAT а DFL в данный момент не поддерживает терминирование более одного pptp тонеля с одного IP.

Приведенный фрагмент лога - результат попытки соединения (неуспешной) со статического "честного" адреса. Лог DFL-1600 направлен в систеный лог Linux и отфильтрован по значению srcip . Т. е., в приведенном фрагменте собраны все сообщения для одной неуспешной попытки подключения. Тот же клиент успешно коннектится к Microsoft ISA Server.

Убедитесь что у клиента не зайдействованы протоколы и опции не поддерживаемые DFL как обязательные при подключении, например mppc. к тому же я не увидел лога где отображалась бы сессия pptp соединения, вы упорно не предосталяете мне необходиммые данные.

Чем дело закончилось? Пдскажите и мне?
Такая же ситуация. DFL-210
PPTP сервер работает как часики. держит около 20 туннелей.
Один из работников едет отдыхать, из гостиницы через XP имеет клиентское VPN, которое в самом нашем городе работало, а из гостиницы далекой страны уже нет - у него в Windows все останавливается на надписи "Проверка имени пользователя и пароля", потом ОШИБКА 619,
а на другом конце на DFL-210 следующее:

2009-07-20
20:19:27 Warning CONN
600013 LogOpenFails ICMP PPPoE_KT_UNLIM
87.121.ххх.xxx
78.132.ххх.xxx
no_new_conn_for_this_packet
drop
protocol=icmp ipdatalen=63 icmptype=DEST_UNREACH unreach=PROTO_UNREACH
___
2009-07-20
20:19:26 Notice PPTP
2700019


pptp_tunnel_up

iface=PPTP_server2 remotegw=87.121.ххх.xxx
------------------------------------------
В данном понимании - на стороне гостиницы режут GRE? Об этом мне говорит PROTO_UNREACH?

Очень похоже на проблемы с GRE. Видимо удаленый NAT не пропускает GRE. Точно выснить это можно сделав сниф. В прошивки 2.25 имеется встроенный инструмент.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Wow! Да, обновился неделю назад уже безо всяких проблем. Как найти встроенный инструмент?

чезер ssh или консоль. pcapdump только поставьте фильтр на удаленный ip иначе много мусора будет. Слить файл можно будет c устройство на компьютер при помощи scp

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Хорошая штука PCAPDUMP. Ее мне иногда и не хватало для полного счастья с DFL. Спасибо!
Буду копать.
OFF: Гдето есть уже обновленный хелп по DFL для новой прошивки?