Добрый вечер.
Люди, подскажите, можно ли решить такую задачу?
Есть два устройства DFL-260E. Между ними поднята IPSEC. Все прекрасно работает.
На одном устройстве еще поднят PPTP сервер. Он так же замечательно работает.

То есть:
ДФЛ1 (192.168.0.0/24)<-------IPSEC------>ДФЛ2(192.168.1.0/24)+PPTP

Возможно ли сделать так, что бы подключившись к PPPT серверу я мог обратится к сети за IPSEC на первом устройстве?

Конечно. Надо на PPTP клиенте прописать маршрут в эту сеть и на обоих или, возможно, на одном DFL IP-правило для разрешения доступа.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Маршрут прописывать на локальном компьютере? Через ДФЛ его не передать?
И какое правило прописывать? Айпи же PPPT клиент получает из сегмента локалки второго ДФЛ, для которого уже настроены правила для IPSEC.

И еще вопрос есть, можно ли сделать перенаправление конкретных портов с одного внешнего айпи (ван1) одной ДФЛ на другой внешний айпи(ван1) второй ДФЛ?

как я ждал этой фразы
а интерфейс тоже LAN?
и по сему

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

верно. На Windows через команду "route add -p". при этом клиенту лучше выдавать всегда одинаковый IP.

Никак. Протокол PPTP не поддерживает. Сцобаки, давно пора доработать.

allow PPTP_serv_interface PPTP_pool IPsec_interface СЕТЬ_0 all_services
На DFL2 только

Это непонятно. Подробнее, пожалуйста.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Есть два офиса. В каждом из них стоит ДФЛ. На каждом статический айпи.
Мне нужно, что бы пользователи через РДП клиента подключались к статическому айпи первого ДФЛ, но попадали к серверу терминалов, расположенному в сети за вторым ДФЛ( на котором другой статический айпи).

То есть нужно, что бы пользователи не знали, о существовании второго ДФЛ, но работали именно с ресурсами за ним.

сделайте проброс порта по туннелю , они вообще ни о чем не будут догадывается ;-0, а так вам два проброса надо делать

на первом WAN- WAN второго
на втором WAN - Внутренний ресурс

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вчера ночью пытался.
Делал так:

На первом
Source: any-all-nets и SAT на статический айпи второго ДФЛ
Source: any-all-nets и SAT на статический айпи второго ДФЛ

На втором
Source: any-all-nets и SAT на внутренний айпи рдп сервера
Source: any-all-nets и SAT на статический айпи второго ДФЛ

Не получилось.

связка правил
Sat\Allow

правда я не понимаю , если есть туннель - зачем таки подвыподверты ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Разрешающие правила есть конечно.

Такие выверты нужно, что бы люди могли подключаться удалено не из двух офисов.
Но и не знали, о существовании второго статического айпи.

да и пусть подключаются , кто им мешает
на вашем DFL сделали проброс портов но в туннель , в чем проблема .... пользователь даже и не узнает , или это какая то секретная лаборатория ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Не совсем понял как это?

По предыдущими варианту-не выходит.


--

http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc
для понимания ....
не поймете рисуйте картинки - понимание придет

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ман читал я тот. Там для айписеков делают.
У меня же другая ситуация.
Для ППТП клиента нужно будет маршрут на локальном компьютере писать.

А вот почему не получается сделать перенаправление на внешний айпи не понимаю.

Тут вроде все несложно. Но пока у меня нет времени читать внимательно и разбираться.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.