Собственно как завернуть и-нет трафик клиента через фаер?
Настраивал по http://www.dlink.ru/technical/faq_firewall_32.php

Где что нужно добавить подправить?

У сервера:
lan_ip 192.168.1.240 IPAddress of interface lan
1 lannet 192.168.1.0/24 The network on interface lan
2 dmz_ip 172.17.100.254 IPAddress of interface dmz
3 dmznet 172.17.100.0/24 The network on interface dmz
8 wan1_defaultgw_ip 213.160.131.241
9 dnsserver1_ip 213.160.128.3
10 dnsserver2_ip 213.160.128.4
11 dhcpserver_range 192.168.1.100-192.168.1.200
12 dhcpserver_netmask 255.255.255.0

У клиента:
Адаптер Ethernet LOCAL:

DNS суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 CT Network Connect
ion
Физический адрес. . . . . . . . . : 00-01-6C-26-71-4A
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес . . . . . . . . . . . . : 192.168.0.250
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.1

Адаптер UGH:

DNS суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес . . . . . . . . . . . . : 192.168.1.200
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.1.240
DNS-серверы . . . . . . . . . . . : 213.160.128.3
213.160.128.4

создать правило PPTP-Server/PPTP_POOL -> WAN/all-nets (NAT)

Мерси! Но возникло два вопроса терерь:
1) Как теперь если понадобится не пустить PPtP клиентов в локальную сеть (и можно ли сделпть так, чтоб определенной группе давать, а другой нет)?
2) У меня на втором DFL-800 на wan интерфейсе динамический адрес, дык PPtP клиент коннектится, а никуда его не пускает (ни в лан ни в ван). Посмотрел в факе есть различия настройки:

Шаг 14: Настройте PPTP Server следующим образом:

Name: pptp_server
Inner IP address: lan_ip
Tunnel Protocol: PPTP
Outer Interface Filter: wan
Server IP: wan_ip
Примечание: Если Ваша WAN настроена для DSL или DHCP, установите «any» в поле Outer Interface Filter и «ip_wan» - в поле Server IP.
Если же Ваша сеть WAN настроена как Static, установите «wan» в поле Outer Interface Filter и «wan_ip» -в поле Server IP.

Шаг 17: Настройте UserAuthRule следующим образом:

Name: pptp_rule
Agent: PPP
Authentication Source: local
Interface: pptp_server (pptp-сервер, созданный в шаге 14)
Originator IP: all-nets
Terminator IP: wan_ip
Примечание: Если Ваша WAN настроена для DSL или DHCP, установите «ip_wan» в поле Terminator IP. Если же Ваша WAN настроена как Static, установите «wan_ip» в поле Terminator IP.


В чем различия «ip_wan» от «wan_ip» (этого вообще в адрес буке нет)??

Помогите пожалуйста настроить.
З.Ы. Второй вопрос важнее!

1) Мне кажется в Вашем случае удобнее использовать схему не с динамической выдачей адреса из пула PPTP_POOL, а присваивать пользователям статические IP(в настройках пользователя параметр Static_IP) И создать правила для этих пользователей, если кому-то нужно запретить использование удалите правило для пользователя. Автоматическое или удалённое отключение невозможно
2) В Вашем случае нужно использовать именно wan_ip. Этому объекту адрес автоматически назначается, когда происходит смена адреса от dhcp. При данной настройке это никак не влияет на PPP соединения, разве что сессия будет обрыватся при смене адреса.

Дык а в чем могут быть грабли?

Вот правила чтио есть:

lan_to_wan1:
1 drop_smb-all Drop lan lannet wan1 all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan1 all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan1 all-nets ftp-passthrough
4 allow_standard NAT lan lannet wan1 all-nets all_tcpudp

map_admin:
1 torrents SAT any all-nets core wan1_ip torrents_azureus
2 torrents_1 Allow any all-nets core wan1_ip torrents_azureus
3 ftp SAT any all-nets core wan1_ip ftp-inbound
4 ftp_2 Allow any all-nets core wan1_ip ftp-inbound

remotesite:
1 fromPPtPclients Allow pptp_server pptp_IPPool lan lannet all_services
2 toPPtPclients Allow lan lannet pptp_server pptp_IPPool all_services

Книга:
all-nets 0.0.0.0/0 All possible networks
InterfaceAddresses This folder contains addresses for interfaces
IPPool
wan1_br 0.0.0.0 Broadcast address for interface wan1.
wan1_dns1 0.0.0.0 Primary DNS server on interface "wan1".
wan1_dns2 0.0.0.0 Secondary DNS server on interface "wan1".
wan1_gw 0.0.0.0 Default gateway on interface "wan1".

InterfaceAddresses:
Access_ip admin_ip, ark_ip, avl_ip, dog1_ip, ivv_ip, pdc_ip,...
admin_ip 192.168.0.49 Ip admina
ark_ip 192.168.0.8 Kliavina IP
avl_ip 192.168.0.50 Artem IP
dhcpserver_netmask 255.255.255.0
dhcpserver_range 192.168.0.0/24
dmz_ip 172.17.100.254 IPAddress of interface dmz
dmznet 172.17.100.0/24 The network on interface dmz
dog1_ip 192.168.0.13
ivv_ip 192.168.0.171 Isaenko IP
lan_ip 192.168.0.1 IPAddress of interface lan
lannet 192.168.0.0/24 The network on interface lan
mail_ip_net 82.193.96.18
pdc_ip 192.168.0.100 pdc server ip
roc_ip 192.168.0.22
wan1_ip 0.0.0.0 IPAddress of interface wan1
wan1net 0.0.0.0/0 The network on interface wan1
wan2_ip 192.168.120.254 IPAddress of interface wan2
wan2net 192.168.120.0/24 The network on interface wan2
zp1_ip 192.168.0.11

IPPool:
pptp_IPPool 192.168.0.210-192.168.0.240

У Вас не хватает правила
nat_pptp NAT PPTP_Inteface PPTPpool ALLNETS WAN1

Это правило для выпускания на внешний трафик, а у меня он даже внутреннии не пингует адреса

Он и не будет пинговатся без правила
Allow pptp/pptp_tool lan_ip/core все собственные интерфейсы устройства определены как core, lan_ip входит в их число.
Читайте логи, по дропам можно определить какого правила не хватает.

2007-07-30
08:22:20 Warning PPTP
02700014

tunnel_idle_timeout
close_tunnel
rev=1 iface=pptp_server remotegw=

Вот что в логах
Никуда не пускает ни внутрь ни во вне

Клиент отвалился по таймеру IDLE ничего страшного. Эту функцию можно отключить. Смотрите более продуктивную информацию, на предмет дропов. Покдключитесь и попробуйте пропиговать с клиента какой-нить IP адрес в интернете и посмотрите логи на устройсвте. Если дропов нет, то пакет уходит.
PS: Посмотрите что в настройках сервера стоит галка ProxyARP.

Пинги не едут ни куда, в логах только:
2007-07-30
10:41:40 Info CONN
00600002 PPP_PPTPBeforeRules GRE core
wan1 82.193.101.239
172.16.15.212
conn_close
close
rev=1 conn=close connsrcid=0 conndestid=0

Настройки клиента:
Ethernet NIC
Физический адрес. . . . . . . . . : 00-16-17-93-26-7B
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.16.15.212
Маска подсети . . . . . . . . . . : 255.255.192.0
Основной шлюз . . . . . . . . . . : 172.16.63.238
DHCP-сервер . . . . . . . . . . . : 172.16.63.238
DNS-серверы . . . . . . . . . . . : 82.193.96.6
82.193.96.7
Аренда получена . . . . . . . . . : 30 июля 2007 г. 12:48:57
Аренда истекает . . . . . . . . . : 30 июля 2007 г. 12:58:57

kgb - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.211
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.0.211

Произведите логирование правил
1 fromPPtPclients Allow pptp_server pptp_IPPool lan lannet all_services
2 toPPtPclients Allow lan lannet pptp_server pptp_IPPool all_services
И ещё раз напомниаю про галку в ProxyARP в настройках сервера.