Здравствуйте, стоит dfl в порт wan подключен основной канал,( все пк подключенные к dfl выходят в интернет через него) в порт dmz резервный. На dfl настроен pptp сервер, клиенты к нему нормально подключаются из сети wan. Как разрешить клиентам выход в интернет через порт dmz? На сегодняшний день клиенты которые подключаются к pptp серверу свободно ходят только внутри локалки dfl.

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2

Не очень понятно что нужно сделать. Чтобы был бэкап канала или чтобы можно было клиентам подключаться через тот интерфейс, который к DMZ подключен?

Если нужен бэкап канала, читать ЧАВО http://www.dlink.ru/ru/faq/85/576.html

нужно клиентам подключаться к wan а в интернет выходить через dmz

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2

Добавить правило в IP rules, которое будет выпускать хосты, которые авторизовались на роутере через dmz. Все... Это ж стандартная конфигурация роутера... Разумеется, маршруты на второго провайдера должны быть.

Я так понимаю, дефолтроут смотрит на wan ? Тогда, одним NAT правилом не обойтись

1) Rules > IP rules
NAT pptp_server/pptp_server_pool dmz/all-nets all_services # правило о котором писали выше

2) Routing > Routing tables
Добавляете таблицу alt_dmz (ordering = only, remove interface addresses = no)
Добавляете в нее маршрут dmz all-nets dmz_gw 100

3) Routing > Routing rules
pptp_server/pptp_server_pool wan/all-nets, forward alt_dmz, return main

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Прошу помощи в решении проблемы.

Ошибка 691 при подключении к PPTP серверу на DFL-210
Прошивка: 2.27.00.15-14099 , May 25 2010

WAN - получаю от провайдера по DHCP (IP реальный, статический)
--------------------------------------------------
WAN_IP - 0.0.0.0
WAN_NET - 0.0.0.0
WAN_GW - 0.0.0.0
WAN_DNS1 - 0.0.0.0
WAN_DNS1 - 0.0.0.0


LAN - адреса раздаю клиентам по DHCP
--------------------------------------------------
LAN_IP - 100.0.0.1
LAN_NET - 100.0.0.0/27
LAN_NetMask - 255.255.255.224
LAN_DHCP_range - 100.0.0.2-100.0.0.30


PPTP сервер
--------------------------------------------------
Name: PPTP_Server
Inner IP Address: PPTP_Server_IP - 100.0.1.1
Tunnel Protocol: PPTP
Outer Interface Filter: WAN
Server IP: WAN_IP

Use User Authentication Rules - Yes
Microsoft Point-to-Point Encryption (MPPE) - RC4 40 bit, RC4 56 bit, Stateful MPPE
IP Pool: PPTP_Server_Pool - 100.0.1.2-100.0.1.30
DNS: (None)
NBNS/WINS: (None)

Add Route
Restricts networks for which routes may automatically be added.
Allowed Networks: LAN_NET

Proxy ARP - LAN


User Authentication - Local User Databases - PPTP_Users (group)
--------------------------------------------------
Name: User1
Password: qwerty
Groups: PPTP_Users
Static Client IP Address: User1_VPN - 100.0.1.2
Networks behind user: (None)


User Authentication - User Authentication Rules
--------------------------------------------------
Name: PPTP_Authentication
Authentication agent: PPP
Authentication Source: Local
Interface: PPTP_Server
Originator IP: all-nets
Terminator IP: WAN_IP
Authentication Options - Local User DB: PPTP_Users
Agent Options: Use MS-CHAP authentication protocol, Use MS-CHAP v2 authentication protocol


Rules - IP Rules
--------------------------------------------------
Name: PPTP_All_Out
Action: Allow
Service: all_services
Source: Interface -PPTP_Server, Network - PPTP_Server_NET (100.0.1.0/27)
Destination: Interface - LAN, Network - LAN_NET

Name: PPTP_All_In
Action: Allow
Service: all_services
Source: Interface - LAN, Network - LAN_NET
Destination: Interface -PPTP_Server, Network - PPTP_Server_NET (100.0.1.0/27)

Остальные правила по умолчанию

Routing - Routing Tables - main
--------------------------------------------------
# Type Interface Network Gateway
1 Route WAN WAN_NET Address: 0.0.0.0/0
2 Route WAN all-nets Address: 0.0.0.0/0 WAN_GWAddress: 0.0.0.0
3 Route dmz dmznet Address: 172.17.100.0/24
4 Route LAN LAN_NET Address: 100.0.0.0/27


Подключение со стороны ОС
--------------------------------------------------
*Общие
WAN_IP - т.е. IP выданный провайдером
*Параметры подключения
Отображать ход подключения - Да
Запрашивать имя, пароль, сертификат, и т.д. - Да
*Параметры PPP
Включить расширение LCP - Да
Использовать программное сжатие данных - Да
Согласовывать многоканальное подключение - Нет
*Безопасность
Тип VPN - Туннельный протокол точка-точка (PPTP)
Шифрование данных - необязательное
Проверка подлинности - Протокол Microsoft CHAP версии 2 (MS-CHAP v2)

Вообще, 691 ошибка - это неправильные логин/пароль вроде... В логах роутера чего пишется? Логин/пароль верные?

Ошибка 691 - это не только имя/пароль (они верные, перепроверял много раз), это так же и проблемы аутентификации или шифрования.
Я написал подробную конфигурацию настроек, в надежде, что кто-то сталкивался с подобной проблемой.
Логи постараюсь выложить, но может кто и по конфигам скажет где закралась ошибка при настройке, если это не проблема прошивки - слышал и такое.

Попробуйте отключить MPPE в настройках PPTP сервера DFL.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Отключил, попробовал, не работает.
Пробовал так же создавать подключение из-под Linux Ubuntu 10.04.1 LTS - результат такой же
Прошивка у меня DFL-210-2.27.00.15-Russian-UPGRADE
А что за прошивка DFL-210_A4A5_FW_v2.27.03.25-upgrade - это забугорная какая-то, чем отличается, можно ли поставить её, если она новее ?

Исходя из того, что подключения создавал с разных ОС, и пробовал разные настройки (причём на другие PPTP серверы подключения проходили нормально) проблема всё таки или в настройках DFL-210 или в самом аппарате.

P.S. Подскажите, где посмотреть/включить необходимые мне логи.
В Status -> Logging ничего подозрительного не вижу. Т.е. не вижу, чтобы адрес с которого я пытаюсь подключиться блокировался. Значит соединение проходит, но обрывается самим сервером. На что обратить внимание?

Кстати, сделал ещё два разрешающих правила, но на ситуацию это не повлияло
3 PPTP_All Allow any all-nets Address: 0.0.0.0/0 core WAN_IP Address: 0.0.0.0 pptp-ctl Destination ports: 1723
4 PPTP_All_2 Allow any all-nets Address: 0.0.0.0/0 PPTP_Server PPTP_Server_IP Address: 100.0.1.1 pptp-ctl Destination ports: 1723

с ней доступно более сильное шифрование, не разрешенное росс. стандартами.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А есть вероятность, что в ней есть какие-либо изменения в PPTP-сервере ?

Ещё несколько вопросов
1) В настройках PPTP-сервера на вкладке Add Route есть настройка Filter
Restricts networks for which routes may automatically be added.
Это означает, что будет автоматически добавлена запись в таблицу маршрутизации при установлении соединения, или маршруты всё же нужно прописывать самому?

2) Для того чтобы разрешить доступ из PPTP_Server_NET (100.0.1.0/27) в LAN_NET (100.0.0.0/27)
создал в Rules - IP Rules - PPTP_to_LAN такие правила - правильно ли это?
1 PPTP_All_Out Allow PPTP_Server PPTP_Server_NET Address: 100.0.1.0/27 LAN LAN_NET Address: 100.0.0.0/27 all_services
2 PPTP_All_In Allow LAN LAN_NET Address: 100.0.0.0/27 PPTP_Server PPTP_Server_NET Address: 100.0.1.0/27 all_services

1) Нет, это настройки ARP proxy
Клиентская часть полностью лежит на вас
Я публиковал пример скрипта подключения - viewtopic.php?f=3&t=137506&p=727247#p727247

2) Да, вполне, но
а) не забываем о маршруте на клиенте (п.1)
б) компьютеры в сети (антивирусы/файрволы на них) не должны блокировать входящие из РРТР подсети

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Интересный момент произошёл недавно.
Сохранил я настройки с DFL-210, прошился прошивкой такой же версии что стояла в устройстве, но скачанной с сайта.
Залил настройки и PPTP сервер заработал! Что случилось понять не могу, да и желания разбираться нет - коробка куплена - пускай работает как должна.

to danilovav
2) Про маршрутизацию и файрволы на клиентах - это понятно, спасибо за напоминание.

1) А по первому пункту я не понял.
ARP proxy - это второе поле настроек, вполне понятное для чего, там я выбрал только LAN интерфейс
Filter - первое поле, там же ясно написано Restricts networks for which routes may automatically be added - т.е. при установлении соединения, в роутере в таблицу маршрутизации main автоматически добавляется маршрут на эту сеть - я так это понимаю.