День добрый!
Возникает проблема при подключении удаленных клиентов по pptp.
настраивал по мануалу: ftp://ftp.dlink.ru/pub/FireWall/vpn_RUS.pdf
Клиент - WinXP
Прошивка DFL-700 - 1.33.00-SU1


В логах DFL - следующее:

---------- C:\KIWI-SYSLOG\DFL-700.TXT
2006-01-31 01:11:17 Local0.Notice 192.168.1.1 EFW: PPTP: event=pptp_tunnel_up iface=PPTP-Test, remotegw=*.*.*.*
2006-01-31 01:11:47 Local0.Notice 192.168.1.1 EFW: PPTP: event=pptp_session_closed iface=PPTP-Test, remotegw=*.*.*.*, callid=0
2006-01-31 01:11:47 Local0.Notice 192.168.1.1 EFW: PPTP: event=pptp_tunnel_closed iface=PPTP-Test, remotegw=*.*.*.*

2006-01-31 01:12:40 Local0.Notice 192.168.1.1 EFW: PPTP: event=pptp_tunnel_up iface=PPTP-Test, remotegw=*.*.*.*
2006-01-31 01:13:07 Local0.Notice 192.168.1.1 EFW: CONN: rule=PPP_PPTPBeforeRules conn=close connipproto=TCP connrecvif=WAN connsrcip=*.*.*.* connsrcport=61425 conndestif=core conndestip=*.*.*.* conndestport=1723 origsent=676 termsent=796
2006-01-31 01:13:10 Local0.Notice 192.168.1.1 EFW: PPTP: event=pptp_session_closed iface=PPTP-Test, remotegw=*.*.*.*, callid=0
2006-01-31 01:13:10 Local0.Notice 192.168.1.1 EFW: PPTP: event=pptp_tunnel_closed iface=PPTP-Test, remotegw=*.*.*.*
2006-01-31 01:14:30 Local0.Notice 192.168.1.1 EFW: CONN: rule=PPP_PPTPBeforeRules conn=close connipproto=TCP connrecvif=WAN connsrcip=*.*.*.* connsrcport=61427 conndestif=core conndestip=*.*.*.* conndestport=1723 origsent=612 termsent=756
А на вкладке Connection:
TCP_NEW TCP core:0.0.0.0:0 core:*.*.*.*:1723 14

У клиента: error 619. Сould not be established so the port ///clozed

WAN-порт имеет public адрес?

Клиентами кто? ОС? С каких сетей, через NAT или с public IP ?
Пароли, логины ес-но совпадают? На всякий случай попробуйте заведомо ложные логины и пароли - если ошибка иная, значит, наверное, причина не в этом.

Если клиенты работают через NAT, то могут быть проблемы на стороне клиентского NAT-а с прохождением GRE-трафика.

WAN-порт имеет public адрес? - да, static IP

Клиентами кто? ОС? Писал, WinXP
С каких сетей, через NAT или с public IP ? скорее всего через NAT. т.к. домовая локалка, где-то я встречал топик про это, но по идее PPTP в отличие от L2TP умеет ходить через NAT

Пароли, логины ес-но совпадают? На всякий случай попробуйте заведомо ложные логины и пароли - если ошибка иная, значит, наверное, причина не в этом. Попробую, но по-моему ошибка не в этом. т.к. иначе винда так и пишет, да и в лгах нет ничего про прием отсылку паролей

Если клиенты работают через NAT, то могут быть проблемы на стороне клиентского NAT-а с прохождением GRE-трафика
Могут, тогда ка бороться?
Я попробую еще раз через Dial-UP, как ибо так виднее будет наверное

WAN-порт имеет public адрес? - да, static IP

Клиентами кто? ОС? Писал, WinXP
С каких сетей, через NAT или с public IP ? скорее всего через NAT. т.к. домовая локалка, где-то я встречал топик про это, но по идее PPTP в отличие от L2TP умеет ходить через NAT

Пароли, логины ес-но совпадают? На всякий случай попробуйте заведомо ложные логины и пароли - если ошибка иная, значит, наверное, причина не в этом. Попробую, но по-моему ошибка не в этом. т.к. иначе винда так и пишет, да и в лгах нет ничего про прием отсылку паролей

Если клиенты работают через NAT, то могут быть проблемы на стороне клиентского NAT-а с прохождением GRE-трафика
Могут, тогда ка бороться?
Я попробую еще раз через Dial-UP, как ибо так виднее будет наверное

Public IP и static это разные вещи. Public - это то что народ называет "белые" и "внешние". Private (10.*, 172.16.*, 192.168.*) - "серые". Я этих "названий" не разделяю.

Ага, про WinXP прозевал, сорри.

"Проходимость" PPTP через NAT определяется не PPTP, а NAT-ом. Если он не может обеспечить проходимость, то именно его и надо "лечить". Но этот NAT чаще всего провайдерский и провайдер вряд ли будет его лечить просто так. Возможный выход - "купить" у провайдера public IP.

Спасибо за ответ!
Про ИП - просто фраза неправильная вышла: да, у меня ны выходе public (белый) ИП, статический - так что с этим проблем быть не должно

Про NAT - думаю, что дейсвительно проблема с этим, хотя все-таки инетресна более подробная расшифровкка лога DFL-700 наверху.

Купить "белый" ИП - идея хорошая, но сначал я хотел понять, работает ли туннель ))

Не так то это просто - выяснить точно. Попробуйте посмотреть снифером на WAN-е, туда вообще GRE приходит?

"Купить "белый" ИП - идея хорошая, но сначал я хотел понять" - это зависит от Ваших договорённостей с провайдером, я в таких случаях всегда приходил к компромису "взять на сутки и попробовать".

Мои извинения за долгое молчание.
Пока суть да дело удалось проверить туннель - с ним проблем действительно нет, все работает с настройкми по умолчанию
А вот подключение из моей локалки - нет, но это вопрос уже не вэтот форум
Спасибо v932 за ответы
Есть небольшой вопрос - как-то я не очень понимаю, как можно сниффером снимать траффик с WAN порта DFL-700 - у него ведь зеркалирования нет?

WAN-порт подключить через хаб (именно хаб, не коммутатор), к хабу прицепить любой комп, можно даже не настраивать на нём IP - снифер всё равно ведь eth будет захватывать.