Я, к сожалению, ещё "чайник" в данном вопросе, но проблему нужно решить и понять что не так.
Имеется DFL-700, необходимо подключение по ВПН снаружи,все настройки по умолчанию. всё делаю как указано в этой инструкции http://dlink.ru/technical/faq_firewall_27.php#1
Должен ли девайс пинговаться снаружи и если должен, то что для этого нужно прописать

Ситуация изменилась. изнутри из локалки, прописывая внешний айпи подключается, а снаружи нельзя.

по меньшей мере странно. Как вы проверяете? Что при попытке подключения извне пишет в лог устройство?

_________________
С уважением -- Александр Шебаронин.

вопщем при подключени к устройству идёт проверка имени и пароля....
потом отключено

Повторю вопрос: что при этом пишется в лог устройства?

_________________
С уважением -- Александр Шебаронин.

Итак с этим разобрался.Создал сервер ППТП в ДФЛ-700. Человек подключается, получает 192.168.1.60(жёстко), пингует 192.168.1.1 и 192.168.1.2 и т.д. Могу ли я ему дать свой инет и если могу, то как это сделать ?
Outer IP - пусто
Inner IP - пусто
Client IP Pool - 192.168.1.70-192.168.1.75
Proxy ARP dynamically added routes - стоит галочка

Я на другом конце туннеля должен бы быть...
Посему дополню от себя:
Опишу ситуацию поподробнее.
Есть 2 офиса:
Офис 1(основной - не моя сторо - данные могут бять не точные): Локалка - 192.168.0.1/8(может 16) - DFL-700(NAT) -(IP скажем 5.5.5.5) - Internet
Офис 2(дополнительный): Локалка - 192.168.0.1/8 - Сервер Win2003EE (NAT) - (IP скажем 6.6.6.6) -Internet

Необходимо следующее:
Интернет для 192.168.0.2 через VPN-NAT на DFL-700 (причина цена траффика)
Собственно требуется следующая схема:
192.168.0.2 (офис 2) - VPN через NAT 192.168.0.1 (офис 2) на 5.5.5.5 (DFL-700 офис 1) - далее на NAT сам на себя себя (DFL-700 офис 1) и в интернет назад.
Либо:
192.168.0.1 (офис 2) VPN на 5.5.5.5 (DFL-700 офис 1) - далее на NAT сам на себя себя (DFL-700 офис 1) и в интернет назад.

Пердпочтительно VPN PPTP.
Т.е. Что-то типа http://www.netassist.kiev.ua/project.shtml. (раздача инета через VPN)
Заранее спасибо за ответ.

UP вопрос не снят

Во первых, сети в этих двух офиса ДОЛЖНЫ быть разными. Во вторых, направить трафик через канал первого офиса можно только с использованием прокси-сервера.

_________________
С уважением -- Александр Шебаронин.

[2005-12-01 14:55:05] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=tunnel srcip=192.168.5.34 destip=195.43.35.125 ipproto=ICMP ipdatalen=40 icmptype=ECHO_REQUEST echoid=768 echoseq=46080

Что означает этот лог? Мне нужно создать правило для этого действия либо наоборот удалить какое-то ?

Я создаю ППТП сервер с диапазоном 5.70-5.75, а в настройках юзера жёстко привязываю ему 192.168.5.34 . Я его пингую и он меня пингует(тоесть 192.168.1.1 - локальный адрес ДФЛ-700), но в сети он не появляется и дать проксёй ему нет тоже не могу (МАС определяется, но инета нет) Может я что-то кардинально не так делаю. Какие данные нужно для определения проблемы ?

если пингуется -- значит трафик ходит в обе стороны. Тогда остается только поставить внутри сети прокси и прописать его адрес в конфигурации броузера.

_________________
С уважением -- Александр Шебаронин.

"направить трафик через канал первого офиса можно только с использованием прокси-сервера."

Получилось всё даже намного лучше и пишу потому как может ещё кому пригодится.
1) Убрал галочку "Allow all VPN traffic: internal->VPN, VPN->internal and VPN->VPN"
2) Появилась возможность вручную прописывать правила для туннеля аналогично LAN, DMZ и я разрешил всё из тунеля в WAN и обратно.
3) Появилась возможность поставить галочку "Hide source addresses (many-to-one NAT)" для туннеля и после этого клиент с адресом 192.168.5.34 (вышеуказанный в логе) начал пиноговать мир.
4) Не снят только один вопрос - пинг работает, а трассировка нет.
5) Почему нельзя встроить в прошивку простенький подсчёт трафика ?

http://www.dlink.ru/technical/faq_firewall_17.php

_________________
С уважением, Карагезов Владислав

Хотелось бы услышать комментарии по поводу НАТа в туннель

http://www.dlink.ru/technical/faq_firewall_17.php
Про это я отлично знаю, но это лишние сложности с чем-то типа Киви и скриптами. Почему в вебинтерфейсе самого файрвола не может быть простой статистики по интерфейсам ?
Теоретически возможна ситуация (и она у меня намечается), что будет стоять ДФЛ-700 и несколько юзверей за ним (без сервера в другом городе) и было бы очень удобно зайдя на страничку файрвола сразу увидеть статистику.
В крайнем случае была бы удобна программа, которая обьеденяет в себе перехватчик логов и анализатор. При стоимости ДФЛ-700 порядка 400 у.е. и более я считаю вполне ненакладным разаботку такого софта производителем.