Как говорится, "жить захочешь - и не так раскорячишься". :-)

Мне только что удалось заставить DFL-200 маршрутизировать трафик между LAN и "миром" (как с NAT, так и без) без применения глючного WAN-PPTP, который не может соединяться с VPN-концентратором в случае, если тот находится не в той подсети, нежели WAN-PHYS. Кстати, кому интересно: эта проблема, как я заметил ещё сегодня днём, легко обходится, если в настройках WAN-PHYS выставить опцию получения IP-адреса по DHCP; проверено.

Впрочем, WAN-PPTP лично для меня был неприемлем в силу того, что WAN в моём случае работает через PPPoE, что исключает одновременно использовать его для PPTP, поэтому мне пришлось придумывать способ заставить устройство маршрутизировать пакеты в "мир" через отдельное VPN-соединение.

Делается это весьма просто: создаём VPN-соединение через "Firewall" -> "VPN", но никакого "remote network" в оном не прописываем. Затем добавляем маршрут к VPN-концентратору через WAN; это важно, поскольку иначе следующие две записи в таблице маршрутизации лишат нас доступа к нему. Следующие две записи - это 0.0.0.0/1 и 128.0.0.0/1, которые доступны через VPN-соединение. Если мы не можем назначить маршрут к 0.0.0.0/0 по причине того, что какая-то падла намертво прикрутила его к WAN, мы просто разбиваем весь этот диапазон напополам и знаем, что это сработает, поскольку при выборе маршрута предпочтение всегда отдаётся "more specific".

Вот, собственно, и всё. Если вдруг у кого возникли вопросы касательно применения данной схемы - пишите, постараюсь помочь.

P.S. В следующих выпусках мы расскажем о том, как заставить DI-604 поддерживать BGPv4 и OSPF. ;-))