Недавно сменил программный роутер на DFL-210.
Сейчас DFL-210 разрешает весь трафик кроме smb.
Создано два правила:
1. запрешать smb.
2. разрешать все протоколы, для всех сетей

У одного абонента в сети сразу после замены программного роутера возникла проблема с использованием VPN соединений у внутренних пользователей.
Пользователи абонента сидят за прокси, который разделяет между ними IP адрес абонента. Со слов абонента у него на прокси настроено правило - разрешать весь трафик.
У пользователей VPN соединение создаётся, доходит до стадии проверки имени пользователя и пароля, прекращается по тайм-ауту.

Вот фрагмент логов DFL-210. Почему пакет доходит до правила по умолчанию и удаляется? Почему не срабатывает второе правило, которое всё разрешает? Какова роль в этой ситуации протокола GRE.

[2006-12-19 18:14:41] FW: CONN: prio=1 id=00600001 rev=1 event=conn_open rule=allowall conn=open connipproto=TCP connrecvif=lan connsrcip=81.17.13.130 connsrcport=3652 conndestif=wan conndestip=87.238.112.164 conndestport=1723
[2006-12-19 18:14:41] FW: CONN: prio=1 id=00600001 rev=1 event=conn_open rule=allowall conn=open connipproto=TCP connrecvif=lan connsrcip=81.17.13.130 connsrcport=3652 conndestif=wan conndestip=87.238.112.164 conndestport=1723
[2006-12-19 18:14:42] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan srcip=87.238.112.164 destip=81.17.13.130 ipproto=GRE ipdatalen=45

скорее всего у Вас разрешающее правло с предопределенным сервисом AllServices.
Это группа объектов AllTcp,AllUdp,AllICMP. Там нет AllIPProt, для того чтобы было ВСЁ разрешено, нужно создать объет IP Protocol и с диапазоном 1-255, и включить его в AllServices