Добрый день, подскажите, пожалуйста следующий момент:
В логах обнаружил дропы пакетов, при передачи с виртуального интерфейса PPTP сервера в WAN порт. В качестве причины указано данное правило.
Вручную прописал и запись в таблице маршрутизации и правило, в котором указал в качестве подсетей - все сети, а в качестве иточника -виртуальный интерфейс сервера, в качестве назначения - ван.
Не помогает, по-прежднему дропает из-за дефолтного правила.
Что оно из себя представляет? Какие интерфейсы и подсети по умолчанию запрещены? С ЛАН и ВЛАН интерфейсов маршрутизация происходит прекрасно без всяких дополнительных правил - просто указывается дефолтный шлюз.

По умолчанию любой трафик запрещен. Это и обеспечивает данное правило.

Лучше покажите картинки из логов.

И вас только логи беспокоят или что-то не работает?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Правило выглядит следующим образом:

Действие: NAT
Интерфейс источник: ВПН сервер
Адрес источника:Все сети
Интерфейс назначения: Wan1
Адрес назначения: Все сети

При аналогичном правиле, с разничей в интерфейсе источнике(LAN порты, интерфейсы VLAN) трафик не блокируется.
При именно этом правиле в логгах отображается следущее:

Warning
RULE
6000051
Default_Rule
Тип трафика - UDP
Интерфейс источника: OutVPN(виртуальный интерфейс сервера)
Адрес источника(клиентский, полученный из пула): 192.168.90.2
Адрес назначения: ххх.ххх.хх.х
Порт отправителя: 55136
Порт получателя: 53
Событие: ruleset_drop_packet
Действие: drop.

Ни одно правило не блокирует трафик из выше указанного источника и в выше указанное назначение. Правило НАТА стоит первым в списке. Пробовал создавать правила Allow для все служб из интерфеса сервера в ван порт и обратно - не помогает.

Я не могу попасть ни в одну подсеть, подключившись к ВПН, хотя явным образом указываю ему маршрутизировать все пакеты с любыми адресами получателя через ван порт.

Согласитесь, Адрес источника:Все сети слишком избыточно. Тогда зачем это делать? Так затуманиваются мозги не только админу, но и устройству.

Сделайте правило вида
NAT OutVPN ip_pool wan1 all-nets all-services
и сделайте его первым в списке правил.

И еще. У вас блокируется запрос DNS. Может он у вас и вправду не разрешен?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Избыточность сделана была для того, чтобы не ошибиться с подсетью. Конкретный пул был раньше. Не работало и с конкретным пулом. Дроп происходит и при ICMP трафике.

Покажите уже нормальные полные логи. А то у вас выше - "Адрес назначения: ххх.ххх.хх.х " - на какой интерфейс? На какой адрес?

Вообще - покажите по человечески ваши правила и настройки (особенно интересуют внутренние IP) для VPN сервера.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Помимо нижеперечисленных правил есть только правило провода впн запросов к ядру и нат на одном лан порте.

Правила:
1)Action: Allow
Srcif: WorksVPN (Виртуальный интерфейс сервера)
SrcIP: VPNpool (Пул впн подсети 192.168.100.2-192.168.100.30)
DstIf:wan1 (wan1ip - 200.200.1.5/24)
DstIP:all-nets
Service:all_services

2)Action: Allow
SrcIf: wan1
SrcIP: all-nets
DstIf: WorksVPN
DstIp: VPNpool
Service: all_services

Пример лога:
Warning
RULE
6000051
Default_Rule
ICMP
WorksVPN(Интерфейс отправителя - впн сервер)
192.168.100.2(Адресс отправителя - Айпи клиента)
217.116.48.2 (Адрес получателя - Пингуемый сервер)
ruleset_drop_packet
drop

Читаю правила: Позволить проводить пакеты всех сервисов из интерфейса ВПН, с адрессами из подсети ВПН нет, в порт ван, во все подсети.
Читаю ошибку: По причине дефолтного правила, подразумевающего запрет на траффик без явного разрешения, ICMP пакет из впн интерфейса, впн подсети, отправляемый по адресу, включаемому в понятие все подсети, дропнут.

Абсолютно аналогичная ситуация с UDP\TCP трафиком.

Также, после подключения к серверу происходит событие conn_close, из-за правила PPP_PPTPBeforeRules, Тип сервиса GRE, интерфейс источника core, адрес источника - WanIp, адрес получателя - клиентская машина с которой устанавливалось впн подключение. Насколько я понял, этот ответ на закрытие сессии обмена информации при установлении соединения?

Подсеть клиентов: 200.200.1.0/24
Адрес сервера - 200.200.1.238(висит на порту ван, с его же айпи)
Внутренний адрес сервера - 192.168.100.1
Пул, получаемый клиентами - 192.168.100.0/24

Сам VPN сервер находится на порту wan1 и имеет с ним один адрес.
То есть, клиенты подключаются к интерфейсу сервера, получают айпи из пула и далее их из этого пула и интерфеса их направляет в ван порт, на котором поднят нат и маршрутизация к следующему роутеру.

Может быть нельзя использовать интерфейс впн сервера, как источник? Может быть где-то стоит дополнительный запрет на трафик с впн интерфейсов? И что является дефолтным шлюзом для впн сервера. Почему деволтную запись в таблице маршрутизации для впн интерфейса необходимо прописывать вручную?

Я создал правило, согласно которому, разрешается проводить любой трафик из любого интерфейса и подсети в любой интерфейс и подсеть. Логи по-прежднему указывают причиной дропа default_rule. Не default_access_rule, а именно default_rule.

1. PPTP пул у вас совпадает с подсетью lan? если да, то включили ли вы arp proxy на все интерфейсы?
2. allow правила у вас должны только для обращения к внутренней подсети, для выхода в интернет должно быть правило NAT

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Нет, подсети разные.
Добавлял и правила доступа в локальную сеть, без ната в ван.

Какая у вас версия прошивки?

Делали по этой инструкции?
http://www.dlink.ru/ru/faq/85/479.html
Шаг 13 точно сделан?

Покажите все ваши правила.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.