Подскажите плиз.
Поднял на ДФЛ-860Е Л2ТП сервер для удаленного доступа к серверу терминалов. Если в настройках задаю пул айпи адресов из сегмента основной сети (192.168.0.0/24), то после установки соединения нормально могу подключится в терминалу (192.168.0.254) и работать.
Но мне хочется впн клиентам раздавать другие айпишники - не из основной сети. То есть в айпи пул заношу (172.16.0.1-172.16.0.30). Соединение нормально устанавливается, клиент получает свободный айпи из этой группы, но доступа к серверу терминалов нет.

Правила использую следующие:

toL2TP Allow lan-lannet l2tp-l2tp_pools all_tcpudp (пока что)
fromL2tp Allow l2tp-l2tp_pools lan-lannet all_tcpudp (пока что)

В свойствах сервера, во вкладке "адд роут" стоит галочка "Always select ALL interfaces, including new ones."

Добавление руками в таблицу маршрута
"Route IPv4 L2TP айпи роутера" результатов не дает.

Что я не так делаю?

Все просто. Надо проверить заведение маршрутов на нужную сеть и наличие разрешающих IP-правил.

А также наличие маршрутов у клиентов. Их не будет, т.к. подсеть другая.
Решение - прописывать ручками, искать автоматическое решение или взять сети из диапазона 172.16.x.x - 172.31.x.x. Тогда PPTP клиенты получат широкие маски

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Разрешающие правила есть, так как если я беру в айпи пул диапазон адресов из одной сети, что и сервер терминалов и маршрутизатор, то клиенты нормально логинятся.

Клиенты и так должны были по задумке получать айпи из диапазона 172.16.0.1-172.16.0.30. И они его получали, но доступа к серверу не было у них.

Думаю косячу где то в маршрутах, но что именно поправить пока не пойму)

на сервере терминалов DFL шлюзом !? если нет то добавте маршрут на сеть 172.16.x.x - 172.31.x.x. где шлюз DFL.
данная схема работает . если что то не получилось - то
1. показывайте скринами правила .
2. с клиента покажите траффировку маршрута до сервера терминалов , с подключенным VPN.

И надеюсь подключаетесь по IP !?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Проверьте наличие верных маршрутов у клиентов после подключения. Если у вас локальная сеть за DFL из диапазона 10.x.x.x или 192.168.x.x, то надо будет изменить лок сеть на 172.x/x/x или писать маршруты вручную

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

если галочка на винде снята ( использовать шлюз) то точно писать маршруты придется .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да, ДФл стоит шлюзом.

Правила:


Трассировку смогу скинуть только вечером.
Подключаются конечно по айпи.

в правилах проблем не вижу .
можете в качестве эксперемента сделать нужный сервис с RDP
трассировка нужна .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Нет, галочка не снималась.

если галочка основного шлюза у клиента не снималась, то весь трафик от клиента, включая инет трафик, идет через PPP соединение и дело тогда не в маршрутах клиента, а, возможно, в файрволлах на сервере/клиенте.

Трассировка в этом случае - первый инструмент для проверки

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

и на сервере наверняка касперкий стоит

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Нет)) я конечно знаю толк в извращениях, но это даже для меня слишком.

Все оказалось проще.
Галочка "использовать как основной шлюз" почему то была снята.
И самое главное, в правилах я забыл поставить переадресацию с айпи пула впн на адрес сервака

ну вот как и говорилось

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вообще я эту галочку всегда снимаю, чтобы удаленный клиент использовал инет через свой канал, а не грузил канал сервера своим инет трафиком, да еще в удвоенном варианте. И, чтоб не повадно было, клиентам выход в инет не разрешаю. Разумеется, это в случае доступа удаленных клиентов к локальным ресурсам, а не ради собственно интернета.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.