При попытке запустить L2TP сервер с IPsec для мобильных пользователей на DFL-210 перестают передаваться пакеты за пределы подсети, выданной провайдером из локальной сети.
Пакеты проходят до WAN интерфейса, до модема, который стоит за WAN в той же подсети.
DFL-210 используется с NATом как шлюз для локальной сети. + L2TP Server для подключения удаленных мобильных пользователей.
Подскажите, пожалуйста, в чем проблема.

Настройка производилась по мануалу.
Interface
Name: ipsec_tunnel
Local network: ip_ext (валидный ip WAN интерфейса)
Remote network: all-nets
Remote endpoint: none
Encapsulation mode: transport

Authentication: pre-shared key

Dynamically add route to the remote network when a tunnel is established – отмечено
Add route for remote network – отмечено

PPTP/L2TP Servers
Name: l2tp_tunnel
Inner ip address: ip_int (192.168.2.254 – то же самое, что lan_ip )
Tunnel protocol: l2tp
Outer interface filter: ipsec_tunnel
Server ip: ip_ext

MPPT – выделено только none
IP pool: l2tp_pool (192.168.2.101-192.168.2.115)

Proxy ARP
(Interface to ARP publish the added route on)
Выбран lan

наоборот эту галочку надо снять , тогда всё будет в порядке.

Спасибо, очень признателен. Пакеты проходят.
А вот соединение с L2TP сервером не устанавливается.
Использую обычный виндовый клиент. Но проблема даже не в клиенте, а в том что DFL не слушает 1701 порт.
Может IP rules надо еще прописывать?
Если да, то какие?

Конечно, надо.
Вот здесь посмотрите презентацию в формате PowerPoint - ftp://ftp.dlink.ru/pub/FireWall/How%20t ... 0ipsec.ppt

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)