Даны настройки провайдером:

ip адрес: 172.19.3.220
Маска сети: 255.255.252.0
шлюз: 172.19.0.1
DNS1: 81.26.176.1
DNS2: 81.26.176.3
VPN сервер: l2tp.zaoproxy.ru

имеется роутер DFL-210 с прошивокой: 2.27.0.15
сброшен до заводских настроек.

в первую очередь забиваю адреса
wan_ip: 172.19.3.220
wannet: 172.19.0.0/24
wan_gw: 172.19.0.1
wan_dns1: 81.26.176.1
wan_dns2: 81.26.176.3
Proxy_Network: 10.10.10.0/24

получаем:




затем
удаляю маршрут по умолчанию: wan-all/nets-wan_gw
создаю маршрут: wan-proxy_network-wan_gw с метрикой 1
создаю маршруты до DNS серверов с метриками 1
создаю VPN подключение
после прописываю маршрут для VPN в виде: VPN-all/nets с метрикой 2



таблица маршрутизации принимает след. вид:





после создаю группу интерфейсов куда включаю созданный VPN и WAN, заменяю wan на группу в IP правилах.

соединение не устанавливается
выдаёт ошибки по правилу 60000051, дропает пакеты с серверов VPN

из консоли выполнил команду:
DFL-210:/> dns -query=l2tp.zaoproxy.ru
l2tp.zaoproxy.ru is at 10.10.10.67
l2tp.zaoproxy.ru is at 10.10.10.71
DFL-210:/>

помогите, где копать ?
p.s. уже глаз дёргается (((

Пока все вполне грамотно.

1. прописали адреса DNS серверов в system-dns?
2. что дает пинг dns серверов и vpn серверов с самого DFL?
3. с компом вместо DFL все замечательно работает?

не надо в картинках оставлять большие поля снизу. Экономьте чужие клики мышкой ))

Вообще, многие на этом форуме забивают на русский язык и ставят последнюю прошивку с полноценным сильным шифрованием 2.27.03. Подумайте над этим.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1. Да, там по умолчанию стоят wan_dns1 и wan_dns2
2. Всё пингуется, внутреняя сеть провайдера работать начинает сразу после присвоения IP на wan порт
3. Да

по поводу 2.27.03, дайте ссылочку, т.к. в теме в шапке ссылка на русскую версию.
хотя виды шфирования MS CHAP и MS CHAPv2 доступны и тут, единственное что на компе ещё указываю вид шифрования: "не разрешенно(отключится если требуется шифрование) в DFL не увидел где это указывать надо.

UPD ссылку увидел,
а можно ли это правило 6000052 вообще выключить ?
ща буду пробывать на прошивке 2.27.03

А что это за лог и зачем его выключать?

Найдите в логах попытки подключения к VPN серверу и покажите эти логи.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ссори, забыл в первом посте указать:



это правило блочит подключение к серверам l2tp

upd правило имелось ввиду 6000051
прошивку обновил, ситуация не изменилась

Маска сети провайдера у вас указана 255.255.255.252.0, а прописываете в DFL wannet с маской /24. wannet должен быть /22.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

исправил на 172.19.0.0/22

результат тот же:

Вкладку "Безопасность" клиента L2TP покажите.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Поставьте там галочку MS-CHAP. А внизу снимите все галочки шифрования, должно быть только пункт "Нет". У вас в данный момент проблема в совместимости с оборудованием провайдера, отсюда и блокировка приходящих пакетов в момент авторизации. Это и в логах видно (malformed_packet)

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

не помогло



dfl в отставку ?

Попробуйте еще галочку Stateful MPPE, если она будет доступна. А провайдер не предоставляет возможности подключение по PPTP? Только L2TP?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

пробывал с Stateful MPPE, толку нет.
есть подключение по PPTP (этот сервер провайдер оставил на всякий случай) но на нём интернет слабее на порядок чем на основных серверах.
Печально то что DIR-320 за 1500 р. работает всё четко, а DFL который позиционируется как решение класса интерпрайз курит в стороне
и вот куда мне теперь железку за 11 т.р. девать ? повешаю на стену !!!
Спасибо всем кто пытался помочь.

У большинства L2TP работает, и у меня тоже.

Попробуйте попинать провайдера. Лучше обращайтесь к нему письменно. Заявление подавайте в 2-х экземплярах. 2-й - для себя с отметкой о приеме вашего заявления. В заявлении лучше сослаться на сертификат соответствия DFL. Думаю, он существует. Найдите сами или через офис D-Link.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

оно и у меня тоже все работало, нарадоватся не мог (у мну два провайдера, сделал резервный канал и роутинг на отдельные ресурсы)
а вот тут они внедрили на своей стороне Ericsson RedBack SE600 BR24-4 и начались траблы. Провайдер такой что бесполезно пинать. Сегодня еще вечером попробую на прошивке 2.26 пошевелить.