Сколько ни смотрел мануалов, постов и т.п. так и не понял, почему настраивая по ним ВПН-сервер, снаружи не получается зайти в сеть.
Итак, по порядку:
1. создал сервер с именем pptp_server1 и следующими настройками
Inner IP address: lan_ip
Tunnel Protocol: PPTP
Outer Interface Filter: wan1
Server IP: wan_ip
Соответственно и все подобное так же как в манке.
Правила:
Name: fromPPtPclients
Action: Allow
Service: all_services
Schedule: None
Source interface: pptp_server
Source network: pptp_ippool
Destination interface: lan
Destination network: lannet
соответственно прописано обратное...

1-й тест: отключено PPTPBeforeRules, лог:
Source IP/Generated/Received/Source Name/Facility/Severity/Tag/Origin/Message
192.168.1.1/04.08.2008 10:39:18/04.08.2008 10:39:18//local 0/Warning///"[2008-04-08 10:39:03] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan srcip=217.170.78.6 destip=87.244.2.хх ipproto=TCP ipdatalen=20 srcport=80 destport=7251 ack=1"

192.168.1.1/04.08.2008 11:45:30/04.08.2008 11:45:30//local 0/Warning///"[2008-04-08 11:45:15] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan srcip=217.170.117.122 destip=87.244.2.хх ipproto=TCP ipdatalen=28 srcport=59395 destport=1723 tcphdrlen=28 syn=1"

2-й тест: включено PPTPBeforeRules, лог:
Source IP/Generated/Received/Source Name/Facility/Severity/Tag/Origin/Message
192.168.1.1/04.08.2008 13:25:49/04.08.2008 13:25:49//local 0/Notice///"[2008-04-08 13:25:34] FW: PPTP: prio=2 id=02700019 rev=1 event=pptp_tunnel_up iface=pptp_server1 remotegw=217.170.117.122"

192.168.1.1/04.08.2008 13:25:52/04.08.2008 13:25:52//local 0/Notice///"[2008-04-08 13:25:37] FW: PPTP: prio=2 id=02700008 rev=1 event=pptp_session_closed iface=pptp_server1 remotegw=217.170.117.122 callid=0"

192.168.1.1/04.08.2008 13:25:54/04.08.2008 13:25:54//local 0/Info///"[2008-04-08 13:25:39] FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close rule=PPP_PPTPBeforeRules conn=close connipproto=TCP connrecvif=wan connsrcip=217.170.117.122 connsrcport=59556 conndestif=core conndestip=87.244.2.хх conndestport=1723 origsent=860 termsent=780"

exs. логи с syslog-сервера, так что некоторая избыточность инфы

при этом ни пинги ни чего другое не проходят.

Прошу помочь с данной стуацией, в особенности саппортов, YuriAM, martemenko и NerO_Padla. Читал все посты на эту тему, но что ни делаю - не выходит каменный цветок. . Никак не можу совладать с данным устройством.

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30

Строго следуйте этому FAQ http://www.dlink.ru/technical/faq_firewall_32.php он неоднократно опробован и работает. Так же возможна проблема с пропуском GRE, как на стороне вашего провайдера, так и на стороне клиента.

Поднял второй ВПН на dmz для тестирования. Логи по этим соединениям:

Source IP/Generated/Received/Source Name/Facility/Severity/Tag/Origin/Message
192.168.1.1/04.08.2008 16:10:59/04.08.2008 16:10:59//local 0/Notice///"[2008-04-08 16:10:44] FW: PPTP: prio=2 id=02700019 rev=1 event=pptp_tunnel_up iface=pptp_2 remotegw=172.17.100.253"

192.168.1.1/04.08.2008 16:11:02/04.08.2008 16:11:02//local 0/Warning///"[2008-04-08 16:10:47] FW: PPTP: prio=3 id=02700012 rev=1 event=pptp_session_up callid=0 iface=pptp_2 remotegw=172.17.100.253 user=test auth=None mppe=RC4-128 assigned_ip=192.168.1.231"

192.168.1.1/04.08.2008 16:14:28/04.08.2008 16:14:28//local 0/Info///"[2008-04-08 16:14:13] FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close rule=PPP_PPTPBeforeRules conn=close connipproto=GRE connrecvif=core connsrcip=172.17.100.254 connsrcid=0 conndestif=dmz conndestip=172.17.100.253 conndestid=0 origsent=6585 termsent=28900"

192.168.1.1/04.08.2008 16:14:28/04.08.2008 16:14:28//local 0/Notice///"[2008-04-08 16:14:13] FW: PPTP: prio=2 id=02700008 rev=1 event=pptp_session_closed iface=pptp_2 remotegw=172.17.100.253 callid=0"

192.168.1.1/04.08.2008 16:14:28/04.08.2008 16:14:28//local 0/Notice///"[2008-04-08 16:14:13] FW: PPTP: prio=2 id=02700022 rev=1 event=pptp_tunnel_closed iface=pptp_2 remotegw=172.17.100.253"

192.168.1.1/04.08.2008 16:15:48/04.08.2008 16:15:48//local 0/Info///"[2008-04-08 16:15:33] FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close rule=PPP_PPTPBeforeRules conn=close connipproto=TCP connrecvif=dmz connsrcip=172.17.100.253 connsrcport=2837 conndestif=core conndestip=172.17.100.254 conndestport=1723 origsent=1156 termsent=1452"

вот тут и происходит затык:
1. пинги не ходят (возможно просто не хватает правила, или что-то не так)
2. объем пердачи по данному подключению - 274 пакета (т.е подключение, авторизация и усе)
3. при этом весь трафик гонится в это соединение - ну допустим, сие безобразие происходит из-за этого - Always select ALL interfaces, including new ones. Я эту опцию отключу, поскольку мне нужно, что в поднятом канале ходил только трафик remoteuser<>lannet

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30

Откройте удаленный доступ.

в личке

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30

Как видите проблема не в DFL а на удаленном клиенте, что я и продемонстрировал.

Попытаюсь провести все это на 2-м сервере к которому подключаюсь через dmz - получается то же моя внутренняя сеть, но с другими адресами. если все и здесь будет работать, то все действительно не в DFL

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30

Отпишитесь о результатах.

Итак, отписываюсь:
Поднять PPTP сервер на dmz удается без проблем по стандартному ману ("Как настроить PPTP-сервер для удаленных пользователей") с соответствующими редакциями.
Коннект есть, аутентификация проходит, внешне вроде все в порядке, НО ни пинги ни другие пакеты не проходят. Пробовал, естественно различные варианты настроек правил и самого сервера, но поскольку тесты идут на живой сети (по которой и VoIP) обрубалась периодически телефония. (логи специально не привожу - много места)
В конце концов все нафиг удалил .
Пере вел манку по этому вопросу: dfl-210_manual.pdf, NetDefendOS_220_Firewall_User_Manual_v1.06.pdf и DFL-210_260_800_860_1600_2500 CLI Reference Guide v1.00.pdf (тут тоже имеются описаня правил) - кста много интересного подчерпнул (например: "если IP адреса IP пула принадлежат сети LAN, то в Allowed Networks необходимо указать LAN..." - про настройки PPTP сервера), хотя некоторые вещи описываются совсем не так как указано в русскоязычной литературе.
То ли это глюк конкретно этой железки, то ли руки кривые.

ТО Sergey Vasiliev: можно ли где нибудь в Туле достать на тест DFL-210?

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30

Так у нас на сайте в faq указано, устанавливать галочку Always select ALL interfaces, including new ones.

В туле нет нашего представительства, только представитель, вам надо обратиться в ближайший для вас филиал.

Согласен, это следует ставить чтоб не вдаваться в настройки (перевод: Всегда выбрать все интерфейсы, в том числе новых). Т.е. следует читать так: "Всегда прописывать маршруты, в том числе для новых интерфейсов", которым является как раз создаваемый сервер. Я в порядке эксперимента эту функцию отключал, но жестко прописывал в Allowed Networks сеть LAN (lannet) в соответствии с манкой.
Буду тренироваться дальше, периодически отписываясь - пост прошу не удалять.
Созрела парочка интересных вопросов. Если вручную прописать маршрут для PPTP с метрикой 110? Можно ли в качестве пула пользователей каким нибудь образом указать DHCP сервер?

_________________
-------------------------------------------------------
DFL-210, Zyxel Prestige 660HW-T1, Panasonic KX TDA-30