всем добрый день, подскажите пожалуйста
есть dfl-860e, на нем поднят l2tp over ipsec
есть сотрудник у которого дома инет через l2tp подключен (провайдер такой )
можно ли поднять подключение l2tp поверх l2tp?

при попытке подключения пакеты доходят, на порт 1701, но дфл их дропает, по дефаулт руле
как будто никакого сервера не поднято
с других адресов, даже с гсм модемов все нормально
дал аллоу на кору, на 1701, ну пишет - унхандлед, ну это понятно, если для этих пакетов ничего не видит
никаких алг вроде нет, для l2tp
проблемы с мту, тогда бы про размер что нибудь писал наверно, а тка просто дроп и больше ничего

в общем получается, что галка "бефоре рулез" не действует на пакеты от этого сотрудника с л2тп, как то они проходят до правил

прошивка 2.27.03.25-14781

Прошивка RU или WW ?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

l2tp через l2tp должно работать.Это подтвердается тем, что пакеты доходят.

У меня на DFL-210 через l2tp соединение с провайдером работатет l2tp сервер, поднятый на DFL.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

почему пакеты доходят до правил если стоит галка "бефоре рулез"?
прошивка WW, наверное, качал с тайского сайта, c 3des в общем
да, точно - WW

L2TP интернет у сотрудника и L2TP over IPsec (т.е. внизу - IPsec) в офисе никак не связаны и работают нормально.

Покажите логи дропов и какие правила вы пытались делать

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

запись лога с источником в виде ip сотрудника, одна- "drop default rule", порт - 1701
щас уже все затерлось, чуть позже выложу
правил никаких не делал
уж после, сделал аллоу на 1701, но потом удалил

2012-10-20
15:45:55 Warning RULE
6000051 Default_Rule UDP wan1
46.38.8.ххх
94.125.52.ххх 1701
1701 ruleset_drop_packet
drop

у вас один инет канал настроен или больше?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

один

Порт 1701 - контрольный для L2TP. То, что он пришел с WAN, а не из IPsec, показывает что у вашего сотрудника применен "патч" билайна, отключающий в L2TP over IPsec шифрование и превращающий его в чистый L2TP.

Решением для вас будет поднятие SSL VPN (с аналогичным шифрованием), РРТР сервера (с меньшим шифрованием) или отказ от шифрования и настройка просто L2TP сервера. От себя советую SSL VPN

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

а ссылочку на инструкцию по ssl vpn для dfl можно?

Софт 2.40
Настраивается абсолютно аналогично РРТР серверу - пул, новый интерфейс, user auth rule, IP rules
Чтобы на клиенте не вешался default route, используйте параметр -no_gateway при запуске клиентского ехе-шника
Если очень нужна инструкция, она есть в мануале

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc