Схема сети


IPSEC аунтентификация Preshared Keys.
В случае если клиент напрямую подключен к DFL-200 соединение устанавливается без проблем.

Иначе (в рабочей ситуации) IPSEC устанавливается, но l2tp соединение - нет - это видно по ответу клиента -"удалённый компьютер не ответил" и из логов.

Похоже это проблема с NAT-T, если на месте DFL-200 стоит Windows 2003 RAS,то проблем с l2tp/NAT-T нету - соединения устанавливаются без пробем.

Если эта проблема не решена то DFL-200 придётся вернуть (как следствие того что он не поддерживает NAT-T в соответствии со стандартом) , хотя в документации сказанно данный стандарт поддерживается данным оборудованием.

Нам нужна эта поддержка потому что 2 или более клиента VPN располагаются за одним и тем же нат устройством - это рабочая ситуация.

В линукс роутере на текущий момент нормально поддерживается только 1 клиент за одним NAT.

Не совсем понял куда и как вы пытаетесь соединиться. И если линукс-роутер поддерживает только 1 клиента, то почему виноват DFL-200?

_________________
С уважением -- Александр Шебаронин.

Мы уже связались с вашими региональными представителями (г.Екатеринбург) и объяснили им суть проблемы.

Основная проблема в том что не работает L2TP VPN Server, в случае когда клиент находится за NAT-ом

Как оказалось PPTP сервер тоже не пускает клиента за НАТОМ -
пробывали разные комбинации.

на DFL-200(fw 1.33) клиента за натом не пускают как L2TP сервер так и PPTP, только чистый IPSEC работает безукоризнено...

Люди у кого работает DFL-200 или DFL-700 VPN (PPTP или L2TP) с работающими клиентами за натом отзовитесь....

c PPTP сервером ситуация очень похожа на конец этой темы

http://www.dlink.ru/phorum/viewtopic.ph ... +traversal

Однако в данном случае замена DFL-200 на Microsoft 2003 Server даёт работу обоих VPN ов (и PPTP и L2TP).
Без NAT DFL-200 подключает как L2TP так и PPTP (в тестовой схеме).

Тишина означает что ни у кого не работает ни l2tp ни pptp с клиентами за NAT ом ?

Эх странно что никто не сталкивался с подобной проблемой...

Извиняюсь за спам, но проблема осталась(региональные представители тоже молчат).

Напоминаю, что роутер на линухе собрать дешевле там работает хоть 1 клиент за натом l2tp, всё остальное там не хуже. (стоит сейчас как основной VPN из за глючности DFL-200).

Абсолютно такие же проблемы.
Сеть:
HostPC1 > NAT > WAN < DFL-200(NAT) < HostPCs2-15

На DFL-200 настроен сервер L2TP, создан пользователь, всё в соответствии с инструкцией с вашего FTP. Там не так много настроек чтобы можно было что-то не так сделать, либо HowTo по настройке не полный и нужно прописывать\учитывать ещё правила фильтров и маршруты самостоятельно. На DFL-200 по логам и состоянию активных SA видно, что тонель создаётся, но через секунд 30 пропадает. На HostPC1 пытающимся пробиться в LAN за DFL-200 через VPN соединение, выскакивает ошибка, что пользователь\пароль неопознаны или неверны настройки безопасности соединения.
Тоже самое с PPTP сервером.
Судя по форуму L2TP и PPTP могут нормально работать только в режиме фиксированного тонеля, без поддержки, что называется Roaming Users... т.е. для организации Roaming Users следует использовать только IPSec тонели?