DFL-210. f/w 2.20 (та же проблема и на 2.12)

Устройство имеет 2 WAN порта: WAN и DMZ. WAN со статическим белым адресом wan_ip от Провайдера 1. Через DMZ поднят PPTP-тоннель по имени VPN до Провайдера 2, который тоже получает белый адрес vpn_ip.

Весь инет трафик идет через Провайдера 1 по WAN. Исключение составляют лишь несколько белых подсетей (назовем их подсети Пр2), принадлежащих Провайдеру 2, которые маршрутизируются на интерфейс поднятого PPTP-тоннеля.

Так вот. Проблема в том, что пинги приходящие на WAN из подсетей Пр2 отвергаются. Как я предполагаю, из-за того, что приходят на WAN, а ответы должны отсылаться через VPN-тоннель. Можно ли заставить DFL отвечать с того же интерфейса, с которого приходят пакеты, либо как-то разрешить проблему иным образом?

Нет отвергаться не из-за этого, тут скорей всего дело в настройках PBR, которым вы перенаправляете трафик на Пр2, покажите настройки таблиц маршрутизации и правил PBR.

Я решил вернуться к этой проблеме. Она не изменилась. Я лишь получил дополнительные данные.

Пинг начинает нормально работать и не отвергаться по логам устройства, если не маршрутизировать подсети Провайдера 2 на VPN интерфейс.

Правил PBR нет.

Вот текущая таблица маршрутов.

Flags Network Interface Gateway Local IP Metric
197.22.23.208/29 wan 100
10.6.7.0/24 dmz 100
192.168.9.0/24 lan 100
123.43.16.0/20 VPN 90
123.44.16.0/20 VPN 90
123.45.32.0/19 VPN 90
123.46.32.0/19 VPN 90
10.0.0.0/8 dmz 10.6.7.3 80
0.0.0.0/0 wan 197.22.23.214 100

Тут почти как в случае конфигурации failover, надо создавать альтернативную таблицу маршрутизации с метрикой на WAN меньше чем VPN, и создать PBR примерно такого вида.

Forward Table: alt
Return Table: alt
Service: all-services

Фильтры интерфейсов.

wan - all-nets -> any - all-nets.

Этими манипуляциями мы заставим устройство отвечать с нужного интерфейса.

Я тоже не могу понять. Всё разруленно метриками. PBR не всегда удобен. По логике вещей если это ван интерфейс и на нём разрешено пинговать ответ должен уходить тудаже откуда пришёл запрос!
Если это фича, то смысла нет, а если это баг - его нужно править!

Это не фича и не баг, ответ идет в соотвествии с метрикой интерфейса.

Спасибо.
Т.о. Без политик коректно разрулить одновременную работу двух провайдеров не получится??? (У меня примерно такаяже схема на 800 дфле ван 2 извне не пингуется...)

Просто создать альтернативную таблицу маршрутизации и указать в правиле PBR, что на входящий трафик на другой интерфейс отвечать по альтернативной таблице маршрутизации.