Здраствуйте!
Нужен дельный совет как подружить вышеуказанные железки.
Что имеем:
1) DSL-500T работает в режиме роутера. Internal IP 192.168.0.1
2) DFL-210 соединен с модемом через wan порт.
3) lannet 192.168.4.0/24 wannet 192.168.0.0/24
lanip 192.168.4.1 wanip 192.168.0.254

Что надо:
1) чтобы из локальной сети 192.168.4.0/24 можно было выходить Internet.
2) поднять на DFL-210 VPN-соединение до сервера (MS WIN2k3)

Уже пробовал делать как описано тут Configuration Examples_Scenarios_Step-by-Step for NetDefend Firewalls v1.00 в прозрачном режиме, но всё, чего добился это пинги до 192.168.0.1


после ХР и установления дефолтовых настроек. Получилось выйти в Internet по вышеуказанной схеме подключения устройств. Но ВПН не могу поднять

Если честно невижу глобальной проблеммы.
Настройки DFL на WAN порту должны быть например такие:
wan_ip 192.168.0.26
wannet 192.168.0.0/24
wan_gw 192.168.0.1
В качестве DNS нужно использовать выданные провайдером DNS, если они не извесны, то указывайте в качестве DNS на машинах(192.168.4.0/24) LAN_IP устройства и настраивайте DNS-RELAY чтобы запросы релеелись на 192.168.0.1
ftp://ftp.dlink.ru/pub/FireWall/How%20t ... 0Relay.doc

Сейчас проблема в следующем:
Надо поднять VPN соединение с DFL-210 делаю так:
L2TP/PPTP Clients
создаю соединение по PPTP (вызов по требованию отключен, установка маршрута включена)
удаленная сеть 192.168.222.0/24
делаю правила на доступ Allow lan lannet --> VPN vpnnet all_services
Далее смотрю в Status-Интерфейсы VPN и вот что там есть:

Interface:
IP Address: 169.254.54.243
Link Status: Tunnel established to 212.17.14.8, Session established
MAC Address: 0000:0000:0000
Send Rate: 0 kbps
Receive Rate: 0 kbps

С локальной сети тоже не удается поднять соединение (делал дополнительное правило IPprot 0-255 цеплял в all_services)

туннель не установлен:
169.254.54.243 -- это служебный адрес присваивается когда устройство не может соединится с РРР сервером и получить доступ.

Это я понял. Надо создавать какие-либо правила, чтобы разрешить Gre с устройства DFL-210? Кажется в нем вся проблема.

Правила конечно нужны, но как я понял из вашего сообщения. Вы уже включили все протоколы(0-255) в группу AllServices, которую используете для NAT(ALLOW) правил lan->wan

Сделал так
allow_all NAT any all-nets any all-nets all_services

в all_services включил порты IP-протоколов 0-255.

VPN не могу поднять даже с ПК. Сегодня прислали логи ВПН сервера. Там говорится, что протокол GRE не проходит.

Когда делаю такое правило:
allow_all Allow any all-nets any all-nets all_services

часть TCP портов просто перестаёт работать (http, POP3, SMTP), хотя таже аська и пинги продолжают ходить.

Configuration: Version 6
Firmware Version: 2.05.00
May 16 2006

2007-05-28 09:38:16 Notice PPTP
event=pptp_session_request remotegw=212.xx.xx.x
2007-05-28 09:38:16 Notice PPTP
event=pptp_tunnel_up iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:38:16 Notice PPTP
event=pptpclient_connected iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:38:15 Notice PPTP
event=pptpclient_start iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:38:14 Notice PPTP
event=pptp_tunnel_closed iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:38:14 Notice PPTP
event=pptp_session_closed iface=CBS, remotegw=212.xx.xx.x, callid=62
2007-05-28 09:37:44 Notice PPTP
event=pptp_session_request remotegw=212.xx.xx.x
2007-05-28 09:37:44 Notice PPTP
event=pptp_tunnel_up iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:37:44 Notice PPTP
event=pptpclient_connected iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:37:43 Notice PPTP
event=pptpclient_start iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:37:42 Notice PPTP
event=pptp_tunnel_closed iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:37:42 Notice PPTP
event=pptp_session_closed iface=CBS, remotegw=212.xx.xx.x, callid=61
2007-05-28 09:37:12 Notice PPTP
event=pptp_session_request remotegw=212.xx.xx.x
2007-05-28 09:37:12 Notice PPTP
event=pptp_tunnel_up iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:37:12 Notice PPTP
event=pptpclient_connected iface=CBS, remotegw=212.xx.xx.x
2007-05-28 09:37:11 Notice PPTP
event=pptpclient_start iface=CBS, remotegw=212.xx.xx.x

правильное правило вот это:
allow_all NAT any all-nets any all-nets all_services точнее
Name NAT lan lannet wan all-nets all_services
Если gre не проходит, то убедитесь что в 500Т есть соотвествующая настройка о пропускании gre(обратитесь по поводу этой настройки либо к документации на модем, либо в соотвествующую ветку форума)
На 210м настроено всё правильно.

это уже от безысходности делал.
а так правило такое:




в том то и дело, что когда в 500 втыкаю шнурок от сервера с ISA 2004, то ВПН поднимается без проблем.

Взял DSL-504 в один порт воткнул DFL-210, в другой ISA-2004. С изы соединение впн поднимается. С DFL-210 нет. Подключил машинку в lan порт на DFL-210. Попытался поднять с нее. Доходит до проверки пользователя и пароля и стопор (GRE не проходит). Уже не знаю что и придумать.

посмотрите логи на dfl-210 в момент установления связи по pptp, если не сообщения о drop ipprot=47, то значит пакеты через устройство проходят.
Если есть, проверьте правила.

2007-05-28 15:29:57 Notice CONN allow_standard TCP lan 192.168.4.222 212.XX.XX.X 2520 1723 conndestif=wan
2007-05-28 15:36:04 Notice CONN allow_standard GRE lan 192.168.4.222 212.XX.XX.X connsrcid=0 conndestif=wan conndestid=0 origsent=570 termsent=0

Сообщения drop ipprot=47 непроскакивает.

2007-05-28 15:36:04 Notice CONN allow_standard GRE lan 192.168.4.222 212.XX.XX.X connsrcid=0 conndestif=wan conndestid=0 origsent=570 termsent=0
Это сообщение как раз говорит о том, что данные прошли через устройство.
Скажите какая прошивка на DFL?

Это я понял. Я и пытаюсь узнать, где грабли. Вот версия
Firmware Version: 2.05.00 May 16 2006

обновитесь до последней 2.11.03, предварительно прочтите релиз нотес.

А можно ссылку? http://forum.dlink.ru/viewtopic.php?t=11222 не видел для DFL-210