Добрый день.
Имеется удалённый офис, подключенный в инет через DFL-200.
Имеется офис, подключенный через NAT на основе FreeBSD.
В DFL-200 настроен VPN сервер.
Сетка в офисе - 192.168.1.0/24, сетка за DFL-200 настроена как 10.0.3.0/24.
На FreeBSD поднят vpn client до DFL-200 через mpd, клиенту DFL-200 статически присваевает адрес 10.0.3.6
Я из дома так же подключаюсь по VPN к DFL-200, мне присваевается адрес 10.0.3.5
Клиенты за DFL-200 получают по dhcp адреса 10.0.3.2 и 10.0.3.3, сам DFL-200 имеет адреc 10.0.3.1 в LAN.
Далее следует следующее.
Я с 10.0.3.5 пингую и вижу 10.0.3.6 (главный офис), вижу 192.168.1.0/24 (через 10.0.3.5 соответственно, маршрут прописан у меня статически), вижу 10.0.3.2 и 10.0.3.3 (удалённый офис).
Из главного офиса видно 10.0.3.2 и 10.0.3.3 (удалённый офис), а так же меня 10.0.3.5.
Из удалённого офиса видно и меня и главный офис. Вроде всё ок.
Но... ни из 10.0.3.6 ни от меня 10.0.3.5 ни пингуется сам DFL-200 10.0.3.1, и так же не бегает инет через DFL-200 ни с меня ни с главного офиса если настроить чтобы весь трафик бегал через VPN соединение.
В логах DFL-200 при попытке пингануть его или www.ru видно:
[2006-12-06 20:33:45] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=VPN_inbound srcip=10.0.3.5 destip=10.0.3.1 ipproto=ICMP ipdatalen=40 icmptype=ECHO_REQUEST echoid=768 echoseq=256
Вопрос. Как таки сделать чтобы нет бегал?
rule=dropall-final - это однозначно встроенное правило, до него у меня стоит:
#1 drop_smb-all Drop Any Any smb-all
#2 allow_ping-outbound Allow Any Any ping-outbound
#3 icq_enabled Allow Any Any https
#4 Admin Allow Any Any echo
#5 inet_test Allow 10.0.3.5 Any TCP+UDP+ICMP
#6 allow_ftp-passthrough Allow Any 83.172.4.154 ftp-passthrough
#7 allow_http Allow Any Any http-outbound
#8 allow_https Allow Any 83.172.4.154 https
#9 NTP Allow Any Any time
#10 TPK_squid Allow 10.0.3.6 Any All Protocols

5-е правило должно было пропустить всё с 10.0.3.5, но оно не срабатывает, я так понимаю потому как находится в разделе LAN->WAN, а 10.0.3.5 в VPN
Но для VPN нет отдельных правил, в Global Config все три крыжика по VPN включены.

Спасибо за ответ.

Нужно как раз снять в GlobalPolicy галочку VPN
и будет возможность выбирать направления вручную с соотвествующим наложением правил ну и NAT соотвественно

Огромногое спасибо!!!
Убрал крыжики в Global policy, появилось "Custom Policy".
Настроил:
VPN_inbound->LAN
LAN->VPN_inbound
VPN_inbound->WAN (+NAT)
VPN_inbound->VPN_inbound
и всё заработало! Спасибо еще раз.