Поднимаю тестовый ВПН между этих устройств, чтоб разобраться что к чему, но никак не получается настроить на 210м правила файрвола. Режет обращение от 800го.

Устройства стоят рядом на столе и соеденены пачкордом. Настройки по мануалу. Прошивки новые. Дополнительные правила файрволла разве что дописаны.

Адреса:


Настройки файрволла:

(в lan_to_fwA-ipsec прописано разрешить все из lan в fwA-ipsec и обратно)

вот что в логах:


Эксперименты с файрволлом ничего не дали.

Покажите настройки туннеля.

Это?

Нет.

нужны настройки туннеля, так вижу только адресный фильтр.
И как можно что-то говорить по одному устройству?

а какие настройки нужно показать?

Если Вы не можете создать туннель по мануалу, где всё расписано, то нужны все настройки, настройки всех параметров туннеля, включая адвансед сеттингс(под списком туннелей)

и тоже самое для другого устройства.

все настройки правильные.
Сбросьте устройства к заводским установкам и повторите настройки.

м-да. а проблема ИМХО в том, что в мануале не хватает правил для настройки файрволла. Потому про него и спрашивалось. Тунель-то поднимается, а вот файрволл режет общение между wan-интерфейсами.

Попробую в 5й раз настроить с дефолта...

Немного непонятно.
Получается что у Вас туннель установился?
Для обращения в туннель из сети нужно создать правила доступа.
Allow -- LAN/LAN_NET -> IPSecInterface/Remotenet
и обтатное соотвественно.

Эти правила установлены. Все по мануалу. А файрволл почему-то зарезает все, что идет от одноко wan в другой. Но только на DFL-210.
800й пишет что все нормально и соединение открыто и закрывает его при долгом простое. 210й ничего такого не выдает. Только режет обращения от 800го к себе на 500й порт. Соответственно никакие пинги никуда не идут. Как разобраться с файрволлом я не знаю, опыт общения с FreeBSDшным IPFW чет не очень-то помогает.

поставлю вопрос так: кроме "Allow -- LAN/LAN_NET -> IPSecInterface/Remotenet" и обратно нужные еще какие-нибудь правила? Не мешают ли дефолтовые правила?