Описание:
в корпоративной сети имеется особая прога, работающая через веб интерфейс, которой пользуются ВСЕ региональные представительства. Обычно подключение к ней осуществляется путем установки на клиентскую машину CheckPoint VPN-1 SecureClient и прописыванием маршрутов на этой машине.
Встал вопрос - можно ли это оуществить посредством поднятие ВПН канала на DFL-210.
Решение:
1. Настрол ВПН-клиент на файере - вроде все нормально, канал поднимается, подключение есть: Link Status: Tunnel connecting to 172.хх.х.х - из Status > Interfaces > Vpn_cl
2. Создал соответств правило All_vpn Allow lan lannet ARL_vpn_cl ARL_net all_services , где ARL_net - удаленная сеть (указаны все необходимые IP)
3. В браузере ввожу IP или имя проги - бесполезно - трафик не идет по каналу.

Что не так?

Модерам: заранее приношу извинения, возможно уже есть ответы на мои вопросы - прошу дать ссылки

Проверьте конфигурацию вашего pptp сервера http://www.dlink.ru/technical/faq_firewall_32.php

Спасибо за бытрый ответ.
Я настраивал не сервер, а PPTP/L2TP Clients. Может быть все дело в этом?
Хотя мне предоставлен аккаунт подключения к удаленному ВПН-серверу компании - в соответсвии с ними я и настраивал PPTP/L2TP Client. После прописывания соответствующих правил разве не должен файер перенаправить запрос из броузера через установленный ВПН канал?

Возможно я вас просто не совсем понял. Вы хотите соедениться с удаленным офисом используя PPTP?

Да именно так.

Вместо Allow используйте NAT, не думаю, что в удаленной сети прописаны маршруты на вашу подсеть.

Попытаюсь. Спасибо.
В случае неудачи или удачи - отпишусь с подробными данными
еще раз СПС

Итак, подробное описание:
1. AddressBook:
создал для удобства папку адресов, куда внес адреса удаленной сети, т.е. "адрес_шлюза", "диапазон_сети", "адрес_проги" и группу адресов, куда внес все вышеперечисленные, "ARL_net";
2. В PPTP/L2TP Clients создаю соответствующее клиентское подключение "vpn_cl" с параметрами:
Tunnel Protocol:PPTP
Remote Endpoint: "адрес_шлюза"
Remote Network: "ARL_net"
сответственно User+Pass
Authentication: Microsoft CHAP Version 2 (MS-CHAP v2)
MPPE: RC4 128 bit
Автосоздание маршрута (route) + метрика=101
3. Маршруты (роутинг)
Автосозданный: Interface="vpn_cl", Network="ARL_net", метрика=101
4. Правила фильтрации:
LAN_to_ARL_net > NAT, all_services, Source_Interface=lan, Source_Network=lannet, Destination_Interface="vpn_cl", Destination_Network="ARL_net", NAT: Specify Sender Address=vpn_cl_ip.
Соответственно аналогично настроено обратное правило.

Смотрим, после сохранения, данный Интерфейс "vpn_cl" в Status>Interface:
Link Status: Tunnel connecting to "адрес_шлюза"
Type : Single client tunnel
Sessions : 0
Tunnel status : Connecting
Лог: Notice PPTP 2700017 pptpclient_start iface=vpn_cl remotegw="адрес_шлюза"

Т.е., насколько понимаю, подключение имеется, туннель создан типо все ОК.

Запускаю броузер и ввожу необходимый адрес, получаю облом и следующую запись в логе:
Info CONN
600001 LAN_to_ARL_net TCP lan
vpn_cl "мой_ип"
"адрес_проги" 1857
80 conn_open

из чего делаю вывод: пакет от моей машины переброшен в соответствии с правилом "LAN_to_ARL_net" через "vpn_cl".
просле чего в логе появляется сообщение о закрытии данной сессии
Браузер при этом не выводит необходимую страницу, а вывыливается в Гугль (поисковик по умолчанию)

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30

Примерно так будет:

В настройках PPTP клиента:

remote endpoint = IP VPN сервера (security gateway)
Remote net = удаленная подсеть.

Метрика на 10 меньше чем на остальных интерфейсах.

Затем правило NAT

Action NAT
Service All-services

Фильтры интерфейсов.

Lan - lannet -> vpn_client - vpn_net

Больше ничего в правиле ставить не надо!!!!

Убедитесь, что это правило находиться в корне IPRules первым!!!

так и стоит



изменил



изменил и перебросил в корень

И всерна пофинг!

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30

Что в логах устройства.

Старт клиента:
2008-03-04 09:36:50 /Notice/PPTP 2700017 / pptpclient_start
(iface=ARL_vpn_cl remotegw=172.26.х.х)
Попытка подключения:
2008-03-04 09:40:53 / Info / CONN 600001 / LAN_ARL / TCP / lan
ARL_vpn_cl / 192.168.1.2 212.248.ххх.хх / 1546 80 / conn_open
(conn=open connnewsrcip=172.26.х.хх connnewsrcport=43122 connnewdestip=212.248.ххх.хх connnewdestport=80 )
потом подобная запись о прекращении (закрытии) соединения с разницей ровно в 1 минуту

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30

Приведите строчки логов без обрезаний.

Date Severity Category/ID Rule Proto Src/DstIf Src/DstIP Src/DstPort Event/Action
2008-03-04
13:20:33 Info CONN
600002 LAN_ARL TCP lan
ARL_vpn_cl 192.168.1.2
212.248.127.38 3222
80 conn_close
close
conn=close connnewsrcip=172.26.5.22 connnewsrcport=23656 connnewdestip=212.248.127.38 connnewdestport=80 origsent=144 termsent=0

2008-03-04
13:19:33 Info CONN
600001 LAN_ARL TCP lan
ARL_vpn_cl 192.168.1.2
212.248.127.38 3222
80 conn_open

conn=open connnewsrcip=172.26.5.22 connnewsrcport=23656 connnewdestip=212.248.127.38 connnewdestport=80
[/img]

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30

Молю о помощи !
Ситуация следующая.
Firewall DFL-210. Wan подключен к XDSL со статичным IP. Lan к внутренней офисной сети. Задумка использовать DFL-210 как VPN(PPTP) сервер, для удаленных сетей.
Настроил практически все на примере FAQ. создал 2 PPTP сервера, 1 для локальных, 2 для удаленных машин. Подключение проходит на ура, однако компьютеры VPN сети, друг друга не пингуют(при чем как локальный-локальный, так и локальный-удаленный). А имеено в этом и нуждаюсь ! админить удаленные компьютеры с локального.
ip_pool 10.0.0.0/24
Суть проблемы фактически ламерская, FAQ на эту модель ограничевается настройкой PPTP сервера без конкретных примеров, если FAQ все-же есть киньте ссылку.

_________________
Не верь, Не бойся, Не проси