Добрый день. Есть 800-я дфл, на ней настроен доступ извне по впн, также она выступает как dhcp сервер и шлюз. Возникли вопросы:
1. При удаленном подключении извне по впн (если интернет предоставляется по впн), перестает работать интернет локально, доступ в рабочую сеть есть. хотел сделать чтобы работал и локальный интернет, убрал галочку использовать удаленный шлюз как шлюз по умолчанию в настройках впн подключения - интернет работает, соединение устанавливается, но доступа в рабочую сеть нет. куда крутить? (есть подозрение, что все дело в связке homelan-workwan-worklan, адресация соответственно 192.168.1.0 - 192.168.2.0 - 192.168.0.0)
2. Хочется поюзать девайс как прокси-сервер с минимальными настроками. Что сделать, чтобы:
2.1 Доступ по любым портам к любым хостам имела определенная группа машин
2.2 Остальные компы имели доступ только к определенным узлам, а ко всему остальному - не имела.

Заранее благодарен, danilovav =)

1. У вас скорее всего подсети lannet и pptp_pool разные, поэтому без галки использования удаленного шлюза нет маршрута.
Решения
А) Добавлять маршрут руками после подключения (route add ...)
Б) Использовать скрипт подключения, изменив под вас

Тут 223 подсеть РРТР, 222 lannet

2. Прокси это понятие L7, DFL применительно к шлюзованию работает на L3-L4. Поэтому, оперировать вам надо именно понятиями этих уровней
2.1. Для "определенной группы машин" делаете отдельное NAT правило с all_services
2.2. Если "остальным" надо только НТТР, делаете NAT правило с применением HTTP ALG, если по другим/всем протоколам - режете по destination network

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1. Хочу А)-Добавлять маршрут руками, но не могу понять какой=) то есть когда я подключаюсь с галкой, я получаю адрес 192.168.2.100-120, шлюзом я так понимаю, является 192.168.2.1 (в настройках рутера он указан гейтвеем для пптп сети). Но если я подключаюсь без галки, добавление route add 192.168.0.0 mask 255.255.255.0 192.168.2.1 не дает мне возможности достать до звезд=) в рабочей сети. хотя по идее - должна.
2. Мне нужно ограничить доступ не по протоколам, а по адресам. Или это невозможно? если допустим я добавлю интерфейс мэйл.ру с адресом 94.100.191.202 и разрешу лану доступ на негопо всем портам, а доступ на внешний интерфейс запрещу чуть ниже - будет работать ? енадеюсь, изложил понятно, у меня иногда наблюдается некоторая спутанность речи=)

1. Смотрите внимательно код выше, вместо 192.168.2.1 надо указывать тот адрес, который вы получили по РРТР

2. Не будет. Все протоколы только на mail.ru можно разрешить, вписав в destination network те IP адреса, которыми резолвится домен.
По имени можно ограничивать только НТТР.
Использовать FQDN (DNS) имя в IP rules нельзя.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1. Все понял - о результатах отпишусь завтра, после полевых испытаний=) надеюсь заработает
2. Не понял=) если я создам интерфейс 111 с айпи-адресом равным 94.100.191.202 (это фактически мэйл.ру). и разрешу подсети lanmininet (доспустим адреса 192.168.0.1-192.168.0.10) доступ к нему, а подсети lannet (включающей в себя lanmininet) запрещу доступ к wannet и размещу это правило ниже чем первое, то, по моему разумению, он не будет никого пускать никуда, кроме как подсеть lanmininet на мэйл.ру

DNS mail.ru показывает не на один адрес, поэтому лучше выяснять инфу по адресам специализированными тулзами, например http://network-tools.com/default.asp?pr ... st=mail.ru

Ваша конфигурация будет примерно такая
# VIP
NAT lan/VIPclients wan/all-nets all_services
# остальные
NAT lan/lannet wan/MAILRUaddresses all_services
# другие NAT правила не надо

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Супер! очень доходчиво и понятно=) я знал, что вы спасете меня=)

1. - заработало=) только убрал инфо-надписи, мне они не надо, и добавил запуск удаленного рабочего стола=)
2. - настрою на досуге, надеюсь все получится, о результатах отпишусь

Для одного компа в сети создал интерфейс и правила, как и предполагал. Все работает, не открывается ничего кроме того что разрешил я=)