Всем доброго времени суток.
Имеется DFL-860E с прошивкой 2.40.02.12.
Внешний адрес www.ххх.yyy.zzz
LAN - 172.16.0.0/16
sstp_ip_pool 172.16.254.1 - 249
Возникла необходимость настроить SSL VPN.
Настройки делал аналогично, как для PPTP:
http://s004.radikal.ru/i207/1302/e0/ed9d76faea4d.jpg
http://s020.radikal.ru/i704/1302/99/4824b0c665d3.jpg
http://s018.radikal.ru/i503/1302/05/cb4a19b7e2c1.jpg

При коннекте получаю следующее:
http://s019.radikal.ru/i644/1302/d3/f3c473d58d61.jpg
После чего коннект поднимается, но, кроме шлюза 172.16.0.1 ничего не пингуется и не открывается.

Подобный вопрос поднимался тут - viewtopic.php?f=3&t=158562&hilit=ssl+vpn
Автору помогло сменить пул адресов на отличный от локалки и убирание DNS. Я тоже пробовал - не работает.
Подскажите, пожалуйста, кто знает - куда копать?

Автору помогло в итоге только выделение пула адресов внутри локалки - только тогда пошел трафик. Причем скорость работы по ssl у меня медленнее чем по pptp (кто бы сказал как это исправить).
А что бы не вылазило сообщение - запускайте клиент с параметром "no_gateway"

Ну я уже и так и этак делал - и внутри локалки и вне ее. Бестолку.
Не идет трафик и все. Шлюз 172.16.0.1 пингуется. Да и то не сразу, а секунд через 20.
А больше ничего не пингуется даже.

На первом скриншоте у вас порт для подключения клиента - 443, измените его на любой другой (хоть 45443).
На третьем скриншоте есть правило (в самом вверху) - SSTP_NAT - чего вы хотели добиться этим правилом? Оно там в принципе не нужно. Удалите.

Порт менял - не помогает.
А правило SSTP_NAT необходимо для того, чтобы компы, получившие адрес из пула sstp_ip_pool могли подключаться к компам из локальной сети даже в том случае, когда у компов локалки шлюз любой другой, а не 172.16.0.1. Впрочем, отключение правила тоже не помогает - все равно не работает.

Измените порт, сделайте пул адресов из локалки, уберите правило NAT, должно заработать.
Кстати, покажите правила авторизации пользователей.

Порт менял, пул адресов - в локалке (и не в локалке тоже пробовал), правило NAT убирал - не работает.
http://s017.radikal.ru/i429/1302/ef/dac40dec9cd3.jpg
Правило обычное, как и для PPTP. Я думаю, если б оно было кривое, то вообще бы никуда не пустило.

Пользователи заведены и каждому пользователю присвоен статический адрес из пула адресов?
Еще вариант прописать ручками на машине клиента маршрут до локалки за DFL или до конкретной машины
типа: route add (-p - если нужен статический маршрут) 172.16.0.x mask 255.255.255.0 х.х.х.х (где х.х.х.х - ip адрес закрепленный за удаленным клиентом)
Хотя если адреса из локалки - то ничего прописывать не нужно. И так должно пускать.

Дык вот не работает.
Эта фигня не впервые.
У нас три DFL-860E.
В разное время на всех настраивали SSL VPN. Поднялся (то бишь - давал залогиниться) на всех, а в локалку пускал только на одном (он уже при других делах и снимать оттуда я его не стану) и то криво донельзя. А теперь вот надо срочно, чтоб SSL VPN был - и нифига не работает. И не понятно что не работает.

Ну и напоследок - логи смотрели? что там в момент соединения? скорее всего дропает какое то правило.
В расширенных настройках "SSL VPN Interface" - стоит галка на "SSL VPN Before Rules" ?
Еще один момент - в самом первом сообщении на втором скриншоте "Proxy ARP" - коли уж выбрали LAN снимите галку с "Always select ALL interfaces, including new ones." - лично у меня такие настройки. Адреса выданы из состава локалки и сделано два правила "Allow" - ну просто обязано завестись:)

Ну, в общем сделано следующее:
1. Попробовал выдавать статический IP клиенту - не помогло. Да и не поможет. Если посмотреть в свойства подключения, то там видно, что маска - 255.255.255.0. А у меня клиентам выдается из пула 172.16.254.1 - 249, а подключаться они должны к 172.16.0.100. При таких условиях они не подключатся никогда. Изменение маски прямо на виртуальном интерфейсе не помогает.
2. Пробовал выдавать клиенту IP 172.16.0.20. При таких условиях он даже не видит шлюз 172.16.0.1. Ну и ничего другого тоже не видит.

SSL Before Rules галочка стоит.
Короче не работает эта балалайка никак.
Еще интересно что в логе значит Stock_Allow_All_Rule с действием conn_close close.

Насчет Stock_Allow_All_Rule с действием conn_close close - viewtopic.php?p=553365
Порт изменен на отличный от 443?

Нельзя мне порт менять на другой.
Все дело в том, что смысл этого SSL VPN именно в открытом везде публичном порту. Только в этом случае подключение будет фактически гарантировано.
Чтобы не пересекаться с управлением, я изменил порт управления на 50443.

Если ещё интересно ... наступил на те-же грабли.
Ларчик просто открывался: при создании SSL VPN interface адреса Inner IP и IP address Pool должны находится в одной подсети (раскопано из недр документации на другую модель DFL за что большое ... DLink).
И ... заработало!

Интересно другое - скорость работы по ssl vpn куда как ниже чем допустим по pptp vpn. Порой тупит ого-го как. Пинги при ssl куда как больше чем в случае pptp. Я тут как кто даже скрины их выкладывал. И нарекание на сей момент уже не от одного человека были.