Hello! задача следующая - через шлюзовую коробочку DFL-900 (реальный ip смотрит в i-net, LAN порт - в локалку) необходимо пробрасывать пакеты VPN-соединения до сервака внутри локалки. на этапе проверки пользователя/пароля система выбрасывает ошибку 721 - сервер не отвечает - как я понимаю не проходят GRE-пакеты. галка Enable PPTP pass through не помогла Умеет ли сия коробочкапропускать GRE?

А создали правило для проброса tcp1723?

да, создан VS и правило в фаере ( from WAN1_ALL to VPN_server dest port = TCP1723, для верности отключили все дефолтные блокирующие правила - все равно не работает прошивка последней версии 2,105

Проснифирите пакеты с на сервере, чтобы убедиться в чём проблема.
Если ли какие-нить сообщения на логе firewall'a о блокируемых пакетах?

sniffer report: пакеты ходят от клиента на WAN порт коробочки (TCP1723) и обратно - со стороны WAN, касательно LAN сети - от LAN порта коробочки до VPN сервера (TCP1723) и обратно тож проблем не видно. в логах фаера ничего нет (молчу про SSH и SNMP затесавшиеся пакетики). галка Enable PPTP pass through - остальное старался по максимуму вырубить. идеи?

Есть одна.
Снифернуть нормальное подключение и через DFL
И найти отличия. На какой фазе рубится соединение. Изначально всё идёт в TCP, gre потом. Вот и посмотреть после какого момента начинается проблема.

на стороне клиентского компа:
1)
TCP Src: 192.168.100.10:1932 Dest: 192.168.100.4:1723
TCP Src: 192.168.100.4:1723 Dest: 192.168.100.10:1932
TCP Src: 192.168.100.10:1932 Dest: 192.168.100.4:1723
TCP Src: 192.168.100.4:1723 Dest: 192.168.100.10:1932
TCP Src: 192.168.100.10:1932 Dest: 192.168.100.4:1723
TCP Src: 192.168.100.4:1723 Dest: 192.168.100.10:1932
TCP Src: 192.168.100.10:1932 Dest: 192.168.100.4:1723
TCP Src: 192.168.100.10:1932 Dest: 192.168.100.4:1723
Unknown IP PROTO
Unknown IP PROTO
Unknown IP PROTO
Unknown IP PROTO
Unknown IP PROTO
Unknown IP PROTO
TCP Src: 192.168.100.4:1723 Dest: 192.168.100.10:1932
TCP Src: 192.168.100.10:1933 Dest: 192.168.100.4:2161
TCP Src: 192.168.100.4:2161 Dest: 192.168.100.10:1933
Unknown IP PROTO
Unknown IP PROTO
Unknown IP PROTO
Unknown
Unknown IP PROTO
TCP Src: 192.168.100.10:1716 Dest: 192.168.100.2:445
TCP Src: 192.168.100.2:445 Dest: 192.168.100.10:1716
Unknown IP PROTO

2)
UDP Src: 81.xxx.xxx.117:137 Dest: 81.xxx.xxx.255:137
ARP source 81.xxx.xxx.117 who has 81.xxx.xxx.118
ARP source 81.xxx.xxx.118 addr 81.xxx.xxx.118 is at 00:0D:88:17:0D:1B
TCP Src: 81.xxx.xxx.117:1983 Dest: 81.xxx.xxx.118:1723
TCP Src: 81.xxx.xxx.118:1723 Dest: 81.xxx.xxx.117:1983
TCP Src: 81.xxx.xxx.117:1983 Dest: 81.xxx.xxx.118:1723
TCP Src: 81.xxx.xxx.118:1723 Dest: 81.xxx.xxx.117:1983
TCP Src: 81.xxx.xxx.117:1983 Dest: 81.xxx.xxx.118:1723
TCP Src: 81.xxx.xxx.118:1723 Dest: 81.xxx.xxx.117:1983
TCP Src: 81.xxx.xxx.117:1983 Dest: 81.xxx.xxx.118:1723
Unknown IP PROTO
ICMP Src: 81.xxx.xxx.118 Dest: 81.xxx.xxx.117
TCP Src: 81.xxx.xxx.118:1723 Dest: 81.xxx.xxx.117:1983
Unknown IP PROTO
ICMP Src: 81.xxx.xxx.118 Dest: 81.xxx.xxx.117
UDP Src: 81.xxx.xxx.117:138 Dest: 81.xxx.xxx.255:138
Unknown IP PROTO
ICMP Src: 81.xxx.xxx.118 Dest: 81.xxx.xxx.117
Unknown IP PROTO
ICMP Src: 81.xxx.xxx.118 Dest: 81.xxx.xxx.117
Unknown IP PROTO
ICMP Src: 81.xxx.xxx.118 Dest: 81.xxx.xxx.117
Unknown IP PROTO
ICMP Src: 81.xxx.xxx.118 Dest: 81.xxx.xxx.117
подозреваю, что Unknown IP PROTO - это и есть GRE-пакеты, которые во втором случае (через DFL) не проходят...

а не могли бы снять лог Ethereal'ом в графическом формате и отослать мне на емайл?

с удовольствием, вот только найду это чудо..

ethereal.com

отправил логи. спасибо на наводку на качественный сниффер. сам уже закопался в выданных им результатах.. с нетерпением жду Вашего вердикта.

Большое спасибо, Станислав! Рапортую для форума: Добавил NAT-правило O-t-O Bi от сервака на внешний порт коробочки - VPN заработал, но как Вы и предупреждали остальные VS отказались работать. решить проблему через отдельный алиас VPN-сервера не представляется возможным - в наличии только 1 реальный IP.