Доброго времени суток!
Пользовали DFL-700 теперь решили заменить один на DFL-800
Почитали manual к DFL-800 вроде всё понятно...
Вот перечень задач которые стояли:
1. Поднять IP Sec туннель с другим DFL-700 - всё получилось c первого раза.
2. Организовать доступ удаленных пользователей по PPP в локалку X.X.1.0 к серверу.
- Создали PPPTP/L2TP Server. Wan, Lan, IP Pool всё вроде правильно...
- Сделали базу пользователей. Одному Юзеру даже дали постоянный IP в локальной сетке.
- Прописали правило User Authenication Rules. Выставили MSCHAP и т.д.
- IP Rules разрешили "All" c PPPTP Server->LAN и наоборот LAN->PPPTP Server.
Результат:
Удаленный Юзер после попытки подключения через PPP "проходит" в локалку.
Т.е на удаленной машине как бы коннект состоялся...
Но на самом деле пакеты в Lan не идут.
В логах DFL-800 вижу:
------------------------------------------
Warning RULE 06000051 Default_Access_Rule TCP
192.168.1.10 (это фиксированный IP Юзера)
192.168.1.50 (IP Сервера)
3270
3389
ruleset_drop_packet drop
-----------------------------------------
Кроме этого если зайти Status -> User Authenication
то Юзеров никаких нет...
-----------------------------------------
Вопрос: Что еще нужно делать чтобы поднять
PPTP Server ?
Как и где изменить это Default_Access_Rules?

Из Lan->Wan все открыто через NAT.

Заранее спасибоооо!!!

Залогированное правило привидите полностью

Date Severity Category/ID Rule Proto Src/DstIf Src/DstIP Src/DstPort Event/Action
2007-04-06
22:32:17 Warning RULE
06000051 Default_Rule TCP wan1
91.76.111.177
82.204.129.58 3657
1723 ruleset_drop_packet
drop
rev=1 ipdatalen=76 ack=1 psh=1
-
2007-04-06
22:32:17 Warning RULE
06000051 Default_Rule GRE wan1
91.76.111.177
82.204.129.58
ruleset_drop_packet
drop
rev=1 ipdatalen=234
-
2007-04-06
22:32:16 Warning RULE
06000051 Default_Rule GRE wan1
91.76.111.177
82.204.129.58
ruleset_drop_packet
drop
rev=1 ipdatalen=104
-
2007-04-06
22:32:16 Warning RULE
06000051 Default_Rule GRE wan1
91.76.111.177
82.204.129.58
ruleset_drop_packet
drop
rev=1 ipdatalen=246
2007-04-06
22:32:15 Warning RULE
06000051 Default_Rule GRE wan1
91.76.111.177
82.204.129.58
ruleset_drop_packet
drop
rev=1 ipdatalen=234
-
2007-04-06
22:32:14 Warning RULE
06000051 Default_Rule GRE wan1
91.76.111.177
82.204.129.58
ruleset_drop_packet
drop
rev=1 ipdatalen=234
------------------------------------------------
Вот в таком ключе...

Может проблема в настройках User Authenication Rules
В мануале описано что для успешной регистрации
по http нужно ещё добавить IP правило
и разрешить для PPTP Clients проход в -> Core.
Но у меня Юзеры проходят проверку по PPP.
Соответственно я дополнительных правил не делал.
Вопрос:
Нужно ли создавать доп. IP правила в Core для проверки юзеров для PPP ?

Сейчас для PPTPServer разрешен весь трафик в Lan и обратно.
Но почему IPSec работает великолепно, остальной трафик без проблем, а Remote Users на PPTP Server не пускает...
Юзер "как бы вошел в сеть" но на DFL-800 в Status я его не вижу...
ПОМОГИТЕ!!!

Создал правило PPTPServer->Core
не помогло...
Вот лог:
Severity: Warning
Category/ID Rule: RULE 06000051
Proto: GRE
Src/DstIf: wan1
Src/DstIP: 91.76.115.154 82.204.125.43
Src/DstPort: 11404 445
Event/Action: Event_drop_packet drop

А Вы случайно не убирали галку PPTP Before Rules? Если да, то Вы забыли разрешить использование протоколо #47(GRE)

В папке где создаются PPTPServers видел кнопочку "Advanced settings".
Проверил: Две галочки (одна для PPTP и вторая для L2TP) - включены.
Полагаю, что это означает что траффик будет идти мимио обычных правил.
Верно?

Скажите плиз,
Нужно ли создавать какие либо дополнительные правила при создании PPTPServer ?
Почему с IPSec тунелем сразу всё получилось, а тут такой ступор

В том-то и дело, что ненужно создавать никаких правил, если стоят галочки...(естественно окромя правил для доступа из туннеля к сети)
Последнее что могу посоветывать и что не относится к Drop, это Вам нужно поставить галочку ProxyARP в настройках PPTP севрера.

У меня была похожая ситуация с Default_Access_Rule. Там устройству не понравились мои Routing Rules (я хотел чтобы обратные пакеты уходили на тот интерфейс, с которого приходили, у меня подключено два wan интерфейса). Было два правила, я одно удалил, и все стало проходить. Недавно это тут обсуждалось.

Если будете пробовать, сообщите потом в форуме о результатах, пожалуйста. А то я так и не понял, что у меня было неправильно.

2mikev я же выслал вам документ, описанная проблема Vadimbars1 не имеет ни какого отношения к Вашей

Проверил все 10 раз.
- Галочки на PPTPServer advanced обе включены.
- Созданы два IP правила:
1. LAN->PPTPServer все можно.
2. LAN <-PPTPServer все можно.

- Удаленный пользователь проходит проверку. В логах Authenication_faled не появляется, стало быть Authenication rules создано нормально. Юзер "видит" вход в сеть.
- Далее он пробует подключиться к серверу, который стоит в LAN и запускает Remote Desktop.
Далее ступор
-
В лога видим
------------------------------------------------------
Warning | RULE 06000051| Default_Rule| GRE | wan1|
89.175.13.100 82.205.145.48 | ruleset_drop_packet |drop
rev=1 ipdatalen=64

1. Почему она на wan1 Drop делает?
у меня остальные IP правила по умолчанию после Reset стоят.
ничего не трогал
allow_standart Lan->Wan1 через NAT
drop_smb-all Lan->Wan
полагаю что если нет правил Wan1->Lan то всё закрыто...

2. В настройках интерфейса lan:
Enable Transparent Mode - OFF
-
Add route for interface network - Yes!
Add default route if default gateway is specified -Yes!
тут правильно???


пожалуста помогите!!! ICQ 217-376-818

Очень жду.
А говорят техподдержка до 22 работает.

с 20 уже трубку не берут...

Поскольку IP внутреннего интерфейса и IP VPN клиента отличаются - надо добавить ARP route на внутренний интерфейс. Моя версия...

Доброго времени суток!
У меня с DFL-210 таже фигня дорогой Vadimbars1 удолось ли решить проблему, если да то как? Зарание спасибо...

У меня вот такая история...

2008-01-11
11:48:56 Warning RULE
06000051 Default_Rule IGMP lan
10.10.8.70
239.255.255.250
ruleset_drop_packet
drop
rev=1 iphdrlen=24 ipdatalen=8 type=MEMBER_REPORT maxresp=0 groupaddr=239.255.255.

Фишка в том, что после переустановки винды и применением жёстких правил безопасности на конечном компьютере, всё встаёт на свои места и он больше не появляется в этом списке. Я так понимаю, что в svchost есть какая то бяка или жук, в результате чего и происходит направление на этот адрес. Но никто же на него не ходил. И кто знает, что это за адрес такой?
Кто знает, как гласит это правило, что оно означает? - Вот что хотелось бы знать... =)