имеем:
dfl-600, f/w 2.35
wan port сего девайса подключен к интернет через dsl-300t (в режиме bridge)
lan port подключен через switch к локальной сети, в которой, помимо всяких разностей, находится w2k server (192.168.0.5) с поднятым vpn сервером (работоспособный - проверено из локалки).

соответственно, связанные с этим настройки dfl-600:

advanced->vpn-pptp:
pptp pass through - enable
pptp status - disable

advanced->nat->virtual server:
private ip - 192.168.0.5
protocol type - tcp
port number - 1723

настройки policy rules описывать не буду, так как даже в режиме allow all ничего не работает.

blocking log выдает следующее:
GRE xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy:0 FILTER_DEFENSE

где
xxx.xxx.xxx.xxx - адрес компа, с которого делается попытка зайти на vpn server (естественно, извне локальной сети)
yyy.yyy.yyy.yyy - адрес, выданный провайдером на dsl интерфейсе

помогите найти решение проблемы, пожалуйста.

насколько я понимаю, проблема в том, что dfl-600 в данной прошивке не может перенаправлять траффик (virtual server) по протоколам, отличным от tcp или udp. логично предположить, что девайс должен следить за этим, при наличии галочки в pptp pass through - enable. но этого почему-то не происходит.

такое мнение возникло из-за того, что если убрать вот это из настроек:
advanced->nat->virtual server:
private ip - 192.168.0.5
protocol type - tcp
port number - 1723

то в blocking list появляется сообщение аналогичного характера
TCP xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy:1723 FILTER_DEFENSE

так как при установлении pptp соединения вначале идет обмен на уровне tcp:1723, а затем про пароли на GRE(47), то нагядно видно, что если бы можно было переправить это GRE на локальный ip адрес, то и строчка
GRE xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy:0 FILTER_DEFENSE

исчезла бы из лога и проблемы бы не было.

Мне немного не понятно, что за задача заставляет городить такой огород???

мне не нужно, чтобы vpn пользователи имели доступ к ресурсам всей локальной сети. достаточно только ресурсов данного w2k сервера. поэтому, а также еще и потому, что управлять пользователями мне удобнее в w2k сервере, а не в dfl-600, сделано так. и работало на di-824vup, но этот девайс не имеет нормального файрвола и не расчитан на столько пользователей.
если можно в дальнейшем по теме плз.

это во-первых. а во-вторых, требуемая функция задокументирована на данный девайс.

Никто тебе тут не поможет:-)

как откатиться на 2.32 ? просто заливка 2.32 в прошивку 2.35 не меняет версию f/w в device information

откатиться на предыдущие прошивки смог (до 2.11)
но это не помогло. устройство не пропускает через себя pptp траффик полностью в локалку.

точнее пропускает тока tcp/1723 (при установленной галке pptp passthrough) на ту машину, куда настроен virtual server. а gre зависает и до локальной машины не доходит (это видно по логам network monitor на w2k server), так как настройки virtual server не позволяют переадресовывать траффик по другим протоколам, кроме tcp и udp.

кстати, галочка ip-sec paththrough то же стоит, как требует того мануал на стр. 89.

это мои выводы из 4-х дневных "танцев с бубном" над dfl-600. если у кого-нить оно выполняет то, чего я добиться не смог, убедительная просьба - отпишите здесь.

и еще хотел спросить
почему галочки pptp passthough (предназначена для сквозного пропуска pptp траффика через устройство) и pptp status (предназначена для активации pptp сервера в самом устройстве) не взаимоисключаемы ?

как, интересно, оно должно работать если включены оба режима ???

Могу утверждать со 100% точностью что режим PPTP Passthrough работает. Более того, он работает даже вместе со встроенным сервером. Это тестировалось, и даже фиксилось разработчиками. Вот выдержка из Release notes:
DFL-600 firmware(2.32) Release Note
1. Fixed PPTP server and PPTP pass through can not work simultaneously.
2. Fixed Transparent mode unstable.

попробуйте отключить систему блеклистинга -- в прошивке 2.35 есть такая возможность.

_________________
С уважением -- Александр Шебаронин.

я примерно понял, для чего нужен этот pptp passthrough.
когда клиент подсоединился ко встроенному vpn серверу (получил ip адрес и т.п.), при наличии галочки pptp passthrugh, у него появляется возможность инициировать дальнейшие pptp соединения, например, с тем же w2k сервером в этой локальной сети.
но просто перенаправить pptp траффик dfl-600 не могет (как он успешно это делает с любым tcp или udp протоколом) - зависает gre.
он не знает, куда его перенаправлять, даже если и хотел бы.
и правда, куда ? в настройках virtual server стоит только перенаправление tcp/1723. переправлять gre настройки virtual server не позволяють.

http://www.dlink.ru/phorum/viewtopic.php?t=7809


С нетерпением ждем новых прошивок!

Александр, я понимю, что у вас в лаборатории всегда все работает.

но у меня к вам просьба - направьте, пожалуйста, информацию об этом баге тем людям, кто занимется разработкой прошивок.

вариант решения - включить возможность переадресации GRE протокола в настройках advanced->virtual server. или чтобы эта штука сама понимала, куда надо переадресовать GRE, исходя из того адреса в настройках virtual server, на который указано перенаправление TCP/1723.

К сожалению далеко не все и не всегда работает у меня в лаборатории... А для того, чтоб баг был зафиксирован, нужно чтоб он был воспроизводим, иначе сложно аргументированно разговаривать с разработчиком. По поводу виртуальных серверов для протоколов, отличных от TCP и UDP -- попробуем запросить.

_________________
С уважением -- Александр Шебаронин.

еще пожелание добавить возможность назначать определенные ip адреса vpn клиентам встроенного в dfl-600 vpn сервера. сделать несложно, зато сильно поможет в настройках безопасности серверов в локальной сети.