DFL 210. Произведена попытка настроить PPTP сервер на сабже.
Все тупо слелано по пунктам, как описано в FAQ здесь на сайте.

Подобная операция производилась и с прошивкой по default (2.12.00.44) и с прошивками 2.25.1 и 2.26.
Результат один и тот же.

Как делалось. (для всех протестированных прошивок методика одинаковая)
1. Для чистоты эксперимента сброс в firmware default.

2. Простейшая настройка WAN через NAT при чем для упрошения эксперимента WAN IP - статика. Даже DNS Relay не настраиваю.
Ни какой DHCP для LAN не поднимается. Все лишнее отключено. Сплошная статика.

3. Далее все по пунктам, согласно соответствующему FAQ.
(авторизация LOCAL, т.е. из внутренней пользовательской базы DFL-ки.) Все по FAQ пункт в пункт.

4. Для диагностики косяков временно понижаю безопасность: разрешаю все ICMP на всех интерфейсах во все стороны.
( дописываю правило: all_icmp Allow any all-nets any all-nets all_icmp и ставлю его первым)

5. Лабораторка проводится на стенде, так что между WAN DFL-ки и машиной с виндой, на которой поднимается PPTP-клиент, честные неубиенные 100Mbps, во избежание потенциальных глюков, которые можно было бы списать на нестабильность реального внешнего канала. Т.е. условия идеально тепличные.

Что получилось:
Снаружи из под винды родным виндовым клиентом поднимается PPTP VPN.
На стороне винды все красиво, как и должно быть (конечно, если не учитывать кривизну самого виндового PPTP клиента, не позволяющего совсем красиво рулить маршрутизацией)
Но в любом случае route print на стороне винды показывает именно то, что должен показывать при поднятом PPTP.

Что происходит дальше.
Не позднее чем через 2 минуты PPTP сам по себе отваливается.

Пока он еще не отвалился со стороны внешней винды пытаюсь пинговать LAN IP DFL-ки - ICMP не проходят. Пытаюсь пинговать заведомо живые хосты в LAN - результат тот же.

Произвожу то же самое но с хоста в LAN.
LAN IP и WAN IP DFL-ки пингуются (WAN IP пингуется потому что я это предварительно разрешил). IP PPTP клиента не пингуется.

Произвожу то же самое уже непосредственно с DFL-ки.
Пингуется все!

Похоже в DFL-ке где то каких то разрешений и (или) маршрутов не хватает.

Подобная проблема в FAQ не описана!!!

В итоге я хочу получить прозрачное подключение к LAN, т.е. со стороны внешнего PPTP клиента хочу прозрачно видеть LAN, а со стороны LAN хочу прозрачно видеть всех подключенных PPTP клиентов.

Что я делаю не так?
Чего не хватает в выложенном FAQ по настройке PPTP сервера?

Был бы чистый *NIX, который можно рулить голыми руками, а не закрытая прошивка, к которой не понятно с какой стороны подлазить, я бы подобный вопрос скорее всего не задал и разгребся бы сам.

Прошивку однозначно обновите до 2.26
FAQ 100% работоспособно, но есть разные его версии с разной логикой. У вас пул для РРТР клиентов включен в lannet или нет? Если да, то ARP proxy включен?
Запустите на клиенте пинг и смотрите в Status > Connections, Status > Logging на DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Обновил до 2.26 и даже надел RU. (Смешно, но не очень удобно...)

Пул PPTP клиентов включен в Lannet.
На DHCP сервере в Lannet, который поднят на 2k3 адреса PPTP пула зарезервированы, чтобы DHCP, тот который поднят на 2k3 их ни когда не выдавал, дабы не было конфликта адресов.
На DFL-ке DHCP для Lannet не поднимаю.
DHCP Relay так же не организовываю.

ARP proxy завтра поковыряю.
хотя там согласно FAQ стоит галка на пункте
Always select ALL interfaces, including new ones.

Замечено следующее,
Если настройки PPTP сервера прописать так:
...
Inner IP Address:lan_ip
...
Outer Interface Filter:any
Server IP:wan_ip

При этом цепляться PPTP-клиентом из Lannet к на PPTP сервер DFL-ки на wan_ip, то сеанс через 2 минуты не рвется и висит столько, сколько нужно.
Если цепляться снаружи, то по прежнему сеанс рвется не позднее чем через 2 минуты.

При PPTP подключении снаружи ICMP ни куда не ходят, даже на default gateway, который выдает PPTP сервер DFL-ки (т.е. на lan_ip)

Пытаюсь решить проблему базируясь на этом FAQ http://dlink.ru/ru/faq/85/479.html

Так же тестировался изолированный вариант, т.е. 2 компа со статикой, один в lannet, другой в wannet, посередине DFL-ка и больше ни каких подключений.
Результаты те же самые, как и в тесте с живой сетью.
(Естественно, все тесты с живой сетью проводятся исключительно в ночное время, дабы не гадить окружающим своими лабораторками )

Русский интерфейс можно (и нужно, если он у вас вызывает неудобства) удалить командой languagefile.

Стоковыми правилами доступ до самого DFL не разрешен, он делается правилом allow pptp_server/pptp_pool core/lan_ip.

Также уточните, вы хотите иметь доступ в lan или в интернет с РРТР ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я сдесь на форуме интересовался подъемом pptp поищи по моему нику...

во, нашел viewtopic.php?t=113309&highlight=

_________________
8-928-158-1720 - Андрей

Спасибо, почитал.
Но в моем случае все должно быть с точностью до наоборот.
Для того чтобы из LAN ходить в I-Net у меня отдельный комп под *NIX-ом со сквидом стоит.
Мне, наоборот, нужно через I-Net из дома в конору прозрачно ходить.
(Удаленное администрирование и юзание конторской телефонии в т.ч. и личных целях
По открытому каналу мне это делать совершенно не хочется, а поднимать IPSec без белой статики на обоих концах через Dynamic DNS, IMHO, достаточно проблематично, а PPTP через Dynamic DNS точно нормально работает если разнести задачи между ADSL модемом и DFL-кой)

Мне из I-Net нужно заходить в LAN, при чем прозрачно, а не пускать к I-Net изнутри по PPTP.

Да пусть будет этот русский интерфейс.
Особо не мешает, а иногда посмеяться и отвлечся стоит



Уточняю:
Из I-Net в LAN, а если еще точнее, то из wannet в lan (если придерживаться терминологии DFL)
wannet у меня некая буферная DMZ сеть в которой болтаются VoIP шлюзы (SIP) и всякая аппаратная мелочевка.
В нее же все ходят в I-Net через выделенный firewall со сквидом.

DFL-ку уже на боевой сети планирую lan-ом воткнуть в реальную локалку, а wan-ом в эту DMZ подсеть.
Форвардинг tcp:1723 и GRE из I-Net на wan DFL-ки будет делать ADSL-модем. (в принципе, уже делает)

Правило вписал - результат пока тот же

По вашей задаче есть FAQ http://dlink.ru/ru/faq/85/479.html , которое точно работает. Ключевой момент - proxy ARP.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я именно этот FAQ и использовал!!!

Пошагово делал пунк в пункт - не работает

В каком месте ключевой момент "proxy ARP"?
Если это "Шаг 13" вышеупомянутого FAQ, дык именно эта галка у меня и стояла!!!

Не работает
Уже неоднократно писал, что делал все пункт в пункт по этому FAQ:
Подключиться снаружи (к WAN интерфейсу) PPTP клиентом нормально получается, но
1) Связь рвется не позднее чем через 2 минуты.
2) Со стороны PPTP подключения не удается пропинговать даже default gateway, который выдает PPTP сервер, поднятый на DFL-ке.

Дополнительно сообщаю:
LAN: 192.168.1.X/24
WAN: 192.168.0.X/24

Может дело в том, что firmware DFL не может корректно понимать WAN в подсети 192.168.0.X ?
(Свежая мысль, которую я еще не проверял. Подобные косяки c подсетью 192.168.0.0/24 я наблюдал у некоторых продуктов D-Link.)

Думаю, для DFL этот глюк исключен.

Я раза 4 поднимал pptp/l2tp сервер на wan DFL-210 в боевых условиях. Всегда по FAQ. Все работало "на ура".

Возможно, вы одинаково ошибаетесь в одном и том же месте в настройках, используя FAQ. Почти уверен, дело не в DFL как таковом. А в настройках или клиенте.

1. Попробуйте еще использовать l2tp вместо pptp.
2. Можно посмотреть логи на предмет причины разрыва связи. Сравнить логи работающего и неработающего вариантов.
3. Попробуйте цепляться к pptp на WAN другим компом.
4. проверьте маршруты на компе-клиенте. route print.

И очень я не люблю "страшных" правил типа any/all-nets <-> any/all-nets.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А вот и нет

Аху...ть!
Похоже, косяк прошивки.
При первом старте после сброса в firmware defaults нельзя настраивать из Wizard чтобы wan был в подсети 192.168.0.0/24.

Что сделал:
1.Очередной сброс в firmware default.
2. Первоначальная минимальная настройка через Wizard, но с одним нюансом:
статический WAN IP был прописан из подсети 10.X.X.X
3. Далее все по FAQ.
4. Для того, чтобы PPTP клиент мог пинговать default gateway было дописано правило:
icmp_for_pptp - Allow - pptp_server - pptp_pool - core - lan_ip - ping-inbound
5. Для того чтобы был красивый резольвинг при подключении к LAN через PPTP был добит в справочник адрес боевого DNS (Win 2k3) в LAN
(обозвал его Lan_DNS)
Далее, в настройке pptp_server, на второй вкладке (PPP Parameters) ,были вбиты DNS.
Первичный - Lan_DNS, вторичный - любой из тех вторичных которые уже настроены для I-Net. (Я юзаю гуглевские 8.8.8.8 и 8.8.4.4)

После этого все стало почти совсем красиво и заработало, как задумано, включая резольвинг в LAN.

Решил пойти дальше и сделать совсем красиво:
Подцепился из LAN к WEB интерфейсу и ручками перебил все то, что настроено на 10.X.X.X на то что мне нужно в боевой сети 192.168.0.X.

Что характерно, все продолжило работать, как задумано.

Ради спортивного интереса опять провел полный сброс в firmware default и при первом старте настроил WAN на подсеть 192.168.0.X
Снова пошли те косяки, которые у меня были изначально.

На само деле, это баг, но пролечивается очень легко, правда, если о нем уже знаешь.
У меня на добывание этих знаний ушло больше двух недель

ЗЫ: Считаю тему закрытой т.к. бага найдена и проблема решена.
Буду надеяться, что эту багу уберут в следующих прошивках или хотя бы задокументируют, чтобы она стала фичей

Вчера и сегодня ковырял по той же теме но уже не DFL 210, а DFL 800.

Все эти же косяки и методики их выправления справедливы и для DFL 800!

Вообще говоря, некоторая корявость визарда это уже давняя тема, хотя со статикой вроде бы не было проблем.

В любом случае, коли вы поняли принципы настройки, лучшим решением будет отказываться от визарда и делать руками - это и быстрее, и правильнее.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc