делал по аналогии с настройкой PPTP для удалённых пользователей,
с учётом противоположной направленности туннелей ,
но видимо чего то не учёл

Вот самая близкая тема, к тому, что мне требуется, которую нашёл на форуме.
Мне требуется по сути то же самое, но в упомянутой теме не указан рецепт, какие маршруты и правила написать, чтоб это работало.
Тоже нужно создать через локальную сеть несколько ВПН-соединений до ДФЛ, по которым бы выдавался интернет.

Перепробовал множество вариантов.
Начал с того, что приспособил рекомендацию из "Вопросов и ответов" по настройке pptp-сервера.

Может у кого то есть готовая конфигурация под этот случай?

может к среде появились соображения у кого-нибудь?

_________________
ДФЛ-210/ДФЛ-800

Опишите вашу топологию опишите все ваши настройки и что вы хотите получить.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

постараюсь поподробней описать свою проблему:

есть локальная сеть, в которой в частности стоит dfl-210,
который смотрит через wan на провайдера по pppoe
два других порта "dmz" и "lan" смотрят в локальную сеть, но в разные подсети.
через подсеть "лан" имеют выход в интернет различные сервера
через подсеть "дмз" нужно организовать выход пользователей по двум группам
1. группа 1 получает доступ через "дмз" , как основной шлюз, прописанный вручную или полученый через ДХЦП, доступ ограничен всего на несколько ресурсов путём маршрутизации
2. группа 2 (всего несколько пользователей) должна иметь выход в "интернет" с полным доступом по VPN с шифрованием

действовал по этой инструкции, чтобы получить пункт 2,
соответственно поменял маршруты и "интерфейсы"


Выбрал диапазон_ip
Создал группу пользователей и пользователя в лок.базе авторизации.
pptp-сервер подвесил на интерфейс "дмз"

* Name: pptp_server
* Inner IP address: wan_ip
* Tunnel Protocol: PPTP
* Outer Interface Filter: any
* Server IP: dmz_ip
Не забыл выбрать в вкладке PPP Parameters мой ранее созданный диапазон ИП.

В вкладке Add Route, поставил галку в поле Always select ALL interfaces, including new ones. Кликнул по OK.

Прописываю соотв. правило авторизации. User Authentication Rules и выбераем Add. Кликаем по UserAuthRule.
* Name: pptp_rule
* Agent: PPP
* Authentication Source: local
* Interface: pptp_server (pptp-сервер, созданный ранее)
* Originator IP: dmz_ip
* Terminator IP: all-nets

Во вкладке Authentication Options и выбал vpn_polzaki (группа пользователей созданная выше) из выпадающего меню Local User DB. Кликнул по OK.

Настроил правило ip (IP Rule) следующим образом:

* Name: fromPPtPclients
* Action: Allow
* Service: all_services
* Schedule: None
* Source interface: pptp_server
* Source network: pptp_ippool
* Destination interface: wan
* Destination network: all-nets

Настроил ещё одно правило IP. Кликнул по Add и выберал IP Rule. Настроил IP Rule следующим образом:

* Name: toPPtPclients
* Action: Allow
* Service: all_services
* Schedule: None
* Source interface: wan
* Source network: all-nets
* Destination interface: pptp_server
* Destination network: pptp_ippool

Кликнул по OK.

Сохранил и активировал.

PPtP-сервер работает и читает на выделенном ему порту, вот статус:
Link Status: Server waiting for IP to listen on
MAC Address: 00-00-00-00-00-00
Send Rate: 0 kbps
Receive Rate: 0 kbps

При попытке подключиться к нему на клиенте из ХР ошибка 800:
Не удалось создать VPN-подключение. Сервер-ВПН недоступен или параметры безопасности для данного подключения настроены неверно.

а в журнале на ДФЛ:
Date Severity Category/ID Rule Proto Src/DstIf Src/DstIP Src/DstPort Event/Action

2009-03-20 Info CONN PPP_PPTPBeforeRules TCP lan 10.0.17.115 4394 conn_close
13:12:57 600002 core 10.0.17.1 1723 close

conn=close origsent=552 termsent=528

_________________
ДФЛ-210/ДФЛ-800

Inner IP address: wan_ip

Скорее всего здесь ошибка... А правила создавать не надо. И так должно работать. Только правила с NAT создать, чтобы пустить инет клиентам. Но к 800 это отношение не имеет.

спасибо,
на НАТ пробовал менять, не помогло, а с "Inner IP address: wan_ip" попробую, перепроверю, там стоит в Иннере, по аналогии с вполне рабочим (но не ВПН) подключением "подсети серверов"

почему же к 800 отношения не имеет?
- там же всё тоже самое, как в 210
главная разница в дополнительном порте на устройстве и мощности самого устройства - процессор/память

П.С. потом всё тоже самое планирую повторить на ДФЛ-800

_________________
ДФЛ-210/ДФЛ-800

Я про "ошибку 800", а не про DFL-800
Чтобы просто поднять VPN правила не нужны. Они нужны будут, чтобы через этот VPN инет получить...

Originator IP - адреса, с которых устанавливают соединение юзеры. Наиболее часто это
1. all-nets
2. или внутренняя сеть
3. или группа разрешенных для доступа адресов.

Дальше я ваш текст не стал изучать. Читайте инструкции внимательно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ну так dmz это и есть его локалка... Одна из... Там dmz_net судя по всему надо поставить...

судя по всему, именно так

от dmz у меня только название, а реально порт использую для ещё одной локалки, из которой у меня пользователи и должны подключаться по ВПН, но ошибка уже стала наглядней, а возникла от непонимания что есть "оригинатор"

всем спасибо, проверю, отпишусь, напишу в подробностях о своём опыте,
судя по всему, будет полезно многим - этот вопрос и раньше возникал в форуме, только ответа не было

и тогда вопрос - как всё же правильней в маршрутизации для моего случая Allow или nat в правилах поставить?

_________________
ДФЛ-210/ДФЛ-800

Не думаю. У вас этот косяк из-за невнимательности.

Смотря о чем речь.

Между локальными сетями Allow. В инет - NAT

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

да, под НАТом заработало,
одна из проблем оказалась в правилах авторизации (спасибо за вышеподанную идею),
отключил их на ППтП-сервере и всё заработало, клиент ППтП стал подключаться и получать "интернет", вопрос теперь что не так в правилах?
- без правил канал без шифрования получается , а хотелось бы, чтобы оно было

_________________
ДФЛ-210/ДФЛ-800

Всем спасибо. Общими усилиями всё заработало. Сделал несколько исправлений, добавил на ППтП-сервер ДНС'ы ВАН'а, а главное всё пересоздал с нуля.

Осталось только подшлифовать. Надо ещё сделать балансировку справедливого деления ВАН между потребителями - моим ППтП-сервером и "сетью серверов", не откажусь от полезных ссылок по этой задаче

_________________
ДФЛ-210/ДФЛ-800