Коллеги, помогите пожалуйста решить или как то локализовать проблему:

DFL-800, будучи подключенным к сети Интернет через провайдера по wan1 не пингуется ни со шлюза провайдера, ни из сети интернет.

На wan1 настроен публичный IP.

Сам DFL через меню Tools пингует шлюз.

При подключении вместо DFL-800 компьютера и настройкой на нем того же самого IP адреса (что и на DFL-800) - пинги из интернет проходят без проблем.

При подлючении напрямую к DFL-800 компьютера с адресом шлюза, пинги тоже идут в обе стороны без проблем.

Уже не знаю что и думать.. Может софт обновить?

Allow wan/all-nets core/wan_ip ping-inbound

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это есть:

All_allow_from_any_net_2_wan1 Allow wan1 all-nets core wan1_ip all_services

БОлее того, судя по логам DFL-800 при его пинговании извне
1) матчится данное правило
2) устанавливается соединение (Conn_open) из wan1 в core
3) после окончания серии пингов соединение закрывется (Conn_close).

Однако пингующий комп из интернета не получает эхо реплаев от DFL!

Похоже что проблема не только с ICMP, а глобально. Так как аналогичным образом не проходит L2TP соединение. Хотя оно отлично работает при соединение напрямую клиента и FDL-800.

А у вас дефолтный маршрут на wan1 смотрит?
Правила PBR есть?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, дефолтный маршрут на шлюз смотрит. Таблица маршрутизации одна.

1 Route wan1 all-nets wan1_gw 100 No Default route over interface wan1.
2 Route wan1 wan1net 100 No Direct route for network wan1net over interface wan1.
3 Route Angels_l2tp_ipsec all-nets 90 No Direct route for network all-nets over interface Angels_l2tp_ipsec.
4 Route wan2 wan2net 100 No Direct route for network wan2net over interface wan2.
5 Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
6 Route lan lannet 100 No Direct route for network lannet over interface lan.


Еще обратил внимание, что не проходят ICMP запросы из LAN в WAN через NAT:

1 NAT_for_outbound NAT any all-nets wan1 all-nets all_services
2 All_allow_from_any_net_2_wan1 Allow wan1 all-nets core wan1_ip all_services
3 ping_fw Allow lan lannet core all-nets all_icmp

А точнее, из lannet пингуется максимум только шлюз wan1_gw. При этом в логах матчится правило NAT_for_outbound. При попытке пинговать (с адреса 192.168.0.250) что-то дальше шлюза (какой-нить адрес в инете, напрмер 194.87.0.50 ) появляется лог:

2011-03-14
21:59:12 Warning RULE
6000051 Default_Rule ICMP lan
192.168.0.250
194.87.0.50
ruleset_drop_packet
drop


Подозреваю, что собака где то здесь зарыта.. Почему же он дропает???


Кстати смигрировал на версию DFL-800-2.27.00.15-Russian-UPGRADE.img, но пришлось откатиться из-за того, что перестал работать L2TP туннель (даже припрямом подключении клиента к DFL800). В логах система пишет что нет подходящих пложений по типу шифрования. Дейтсвительно, заглянул в настройки - почему то в 2.27 видов шифрования уменьшилось. На 2.26.00.06-12649 виндовс с DFL договариваются на раз.

Избавьтесь от any в правилах

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Похоже на заклинание ) вечером попробую и напишу о результате.

Имеется ввиду сделать
NAT_for_outbound NAT lan lannet wan1 all-nets all_services

вместо
NAT_for_outbound NAT any all-nets wan1 all-nets all_services ?

Или чтото еще?

Оставил вообще только два правила:

2 NAT_for_outbound NAT lan lannet wan1 all-nets all_icmp
3 All_allow_from_any_net_2_wan1 Allow wan1 all-nets core wan1_ip all_icmp

результат тот же. Пинг из lannet идет только до дефолт гетвея. Елси пинговать из lannet в интернет то ICMP запросы почему то режутся DFL:

2011-03-15
19:48:11 Warning RULE
6000051 Default_Rule ICMP lan
192.168.0.250
194.87.0.50
ruleset_drop_packet
drop

Пинги из интернета на адрес wan1 доходят до DFL (видно в логах что матчится правило №3) но он не отдает эхо-реплаи обратно.

Уже не знаю куда думать и что курить. Потихоньку развивается комплекс неполноценности (
Хелп ми!!

Status > Routes покажите

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Правильный вопрос - половина ответа Спасибо!

Действительно. Посмотрел статус и обнаружил что метрика для маршрута через дефолтный гетвей выше (было кажется 100) чем метрика для IPSEC (было 90). Поправил, уменьшив метрику для маршрута через дефолтный гетвей до 80. Пинги пошли и из интернета на wan1 и из lannet в интернет.

Осталось теперь настроить маршрутизацию так, чтобы можно было подключать удаленных L2TP клиентов через интернет к wan1 DFL. Напрямую клиент - wan1 туннель работает. А через интернет - нет.

Привожу конфигурации:

Status routes:
77.xxx.xxx.128/25 wan1 80
192.168.120.0/24 wan2 100
172.17.100.0/24 dmz 100
192.168.0.0/24 lan 100
0.0.0.0/0 wan1 77.xxx.xxx.129 80 (вот здесь уменьшил до 80)
0.0.0.0/0 Angels_l2tp_ipsec 90

Routing Table:

1 Route Angels_l2tp_ipsec all-nets 90 No Direct route for network all-nets over interface Angels_l2tp_ipsec.
2 Route wan1 wan1net 80 No Direct route for network wan1net over interface wan1.
3 Route wan1 all-nets wan1_gw 80 No Default route over interface wan1.
4 Route wan2 wan2net 100 No Direct route for network wan2net over interface wan2.
5 Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
6 Route lan lannet 100 No Direct route for network lannet over interface lan.

IP Rusles:

2 NAT_for_outbound NAT lan lannet wan1 all-nets all_services
3 All_allow_from_any_net_2_wan1 Allow wan1 all-nets core wan1_ip all_services
4 ping_fw Allow lan lannet core all-nets all_icmp
6 from_clients_to_L2TP Allow any all-nets Angels_L2tp_server l2pt_address_pool all_services
7 from_L2TP_to_clients Allow Angels_L2tp_server l2pt_address_pool any all-nets all_services

Interfaces->IPSEC:
1 Angels_l2tp_ipsec wan1_ip all-nets PSK

Interfaces->L2TP
Angels_L2tp_server L2TP lan_ip Angels_l2tp_ipsec l2pt_address_pool Yes

Спасибо заранее

0.0.0.0/0 Angels_l2tp_ipsec 90 - неправильно. Галки add route for remote network не должно быть, а должна быть галка dynamically add route в параметрах IPsec

Извне не подключается с какой ошибкой?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо. Поправил. Теперь

Status routes:
77.xxx.xxx.128/25 wan1 80
192.168.120.0/24 wan2 100
172.17.100.0/24 dmz 100
192.168.0.0/24 lan 100
0.0.0.0/0 wan1 77.xxx.xxx.129 90 (вернул на свякий обратно метрику на 90, пинги по прежнему идут)


L2TP клиент отваливается по таймауту. Похоже ему DFL не отвечает. В логах DFL пишет:

IPsecBeforeRules UDP wan1 core 10.222.13.11 77.xxx.xxx.217 500 500 conn_open

на этом все заканчивается.

Адрес 10.222.13.11 здесь приватный потому что L2TP клиент подключается к DFL через сеть одного и того же провайдера. И поэтому DFL видит клиента как 10.222.13.11.

Покажите скрином параметры L2TP сервера

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Кстати, нашел в мануле несоответсвие.

В примере в конце раздела 9.5.2. L2TP/PPTP Server advanced
settings написано:
1. Go to Rules > IP Rules > Add > IPRule
2. Enter a name for the rule, for example AllowL2TP
3. Now enter:
• Action: Allow
• Service: all_services
• Source Interface: l2tp_tunnel
• Source Network: l2tp_pool
• Destination Interface: any
• Destination Network: all-nets
4. Click OK
5. Go to Rules > IP Rules > Add > IPRule
6. Enter a name for the rule, for example NATL2TP
7. Now enter:
• Action: NAT
• Service: all_services
• Source Interface: l2tp_tunnel
• Source Network: l2tp_pool
• Destination Interface: any
• Destination Network: all-nets
8. Click OK


а в теоретической части 9.2.5 написано что нужно сделать:


Allow l2tp_tunnel l2tp_pool any int_net All
NAT ipsec_tunnel l2tp_pool ext all-nets All

Как правильно все таки?

Хотя у меня и так и так не работает...