1. Можно ли увидеть в логе пакеты, идущие к VPN серверу? Не работу уже вошедшего пользователя, а именно то, что идет от клиента к VPN серверу и обратно?

2. Бывает ли на DFL-800 что-то типа транка? Т.е., чтобы несколько LAN-портов составляли один логический порт со скоростью 200-300-400-500 МБит/с?

1. Вы имеете ввиду работу PPP/GRE? Или всётаки данные идущие по туннелю? Первое невозможно, второе возможно, если поставить галочку Logging на правиле PPTP->LAN
2. Такой функции нет.

Первое. Мне нужно считать трафик. А серверы VPN рассматриваются раньше правил или позже? Можно ли создать правило типа Allow на нужные порты и адреса (VPN), и на нем включить запись в лог?

Тогда другой "второй вопрос", коли уж Вы проявились.
У меня несколько выходных каналов к разным провайдерам. От каждого из них получены блоки белых IP адресов. Внутри есть, например, сервер почты. К нему прописаны 2 правила SAT: WANs/allnet->WANs/IP1 и WANs/allnet->WANs/IP2. Т.е., на какой бы адрес ни пришел бы пакет на 25 порт, ответит один и тот же сервер, на которого наведены 2 МХ. А вот выходное правило одно, и там явно указан IP одного из провайдеров, IP1. Как сделать, чтобы при падении одного из провайдеров, переключался не только основной интерфейс, а еще и (как-то) менялся тот IP, с которого выходит почтовый сервер?

1. Всё зависит от галочки, которая стоит в настройках PPTP Server. Если стоит галочка то устройство _принимает_ соединение поверх правил. А то что уже идёт _ВНУТРИ_ туннеля подчиняется правилам FW.
2. Устройство отвечает туда, куда указывает машрут по-умолчанию. Если у Вас настроен мониторинг маршрута по-умолчанию. То при его отвале, будет использован второй маршрут по-умолчанию который работает как резерв.

Ээээ... А можно пальцем показать? И что будет, если снять галочку? Применительно к моей задаче записи входящего и исходящего трафика в логи?

Да, логично. Но в НАТ-правиле указано явно, с какого IP выходить. Это нужно, чтобы корректно проходила проверка на обратную зону DNS в почтовых серверах. Т.е., почтовик принимает входящие соединения на том же IP, с которого он сам выходит и который указан как его MX в DNS. И так 2 раза для разных IP и разных провайдеров. В рассматриваемом случае он выходит всегда с одного IP, это нормально, но дело в том, что провайдер, у которого мы не берем данный IP не будет пересылать трафик к/с него. Т.е., при падении провайдера мне нужно не только переключаться на другую схему маршрутизации, но и уметь выходить с разных внешних IP.

Если снять галочку, то соединения с PPTP сервером не будет происходить пока вы вручную не пропишите правило типа:
ALLOW | lan/lannet -> core/wan_ip | pptp-suit
ещё раз повторяю что это данные _для установки_ соединения. И если их логировать, то получите сколько байт займёт установка соединения.

Если два провайдера, то у них будет и разный доступ. Сейчас вы используете S-NAT, т.е. с указанием определённого IP в для подмнны SRC, если не указывать конкретный IP, то уходить будет с собственного IP, по-этому и нужно вешать двух провайдеров не на один порт, а на разные, чтобы в случае падения одного из них пакеты уходили с другого адреса. Если Вы используете Alias на одном интерфейсе для организции FailOver, то fail-over Работать в автоматическим режимне не будет.

А галочку-то где?
Т.е. сам трафик все равно идет в обход правил и логирования через них?

Спасибо, запутался.
Как это "вешать двух провайдеров не на один порт, а на разные"? И что такое в данном случае "alias на одном интерфейсе"? Адреса, на которых отвечает почтовый сервер и с которых он выходит в сеть - не совпадают с адресами wan_ip1 wan_ip2. Они "дополнительные" (или это и названо "alias"?), т.к. почтовых серверов, на самом деле, несколько, и их все равно не поставишь на 1 IP. А что происходит, если правило NAT "совпало", а пакет отправить не удалось? (т.е., сделать подряд 2 правила NAT для выхода наружу с указанием 2х разных исходящих IP)?

1. Галка находиться System->Interfaces-> PPTP/L2TP Servers -> Advanced settigs.

2. Ничего не произойдёт, пакет просто не будет отправлен. Почитайте мануал к устройству, Вы найдета там примеры конфигурирования. Но использования Alias(дополнительных адресов) в при Fail-Over не возможно.

Аааа! Спасибо, нашел. Но, действительно, бесполезно.


Это-то и плохо.
Тогда вопросы в техподдержку: а в след. версии это предполагается внедрить? Логи при соединении через VPN (ну совсем же просто должно быть) и переключение адресов в NAT правилах?

Я до сих пор не понял, что Вы хотите...
Считать трафик с PPTP/L2TP клиентов? Это уже возможно

Считать трафик, который идет от VPN-клиентов в сторону DFL и обратно. Не свернутый в туннель, а "внешний". Допустим:
1. Клиент VPN->DFL - хочу http://ya.ru
2. DFL->WAN - хочу http://ya.ru
3. ya.ru->DFL - вот тебе страничка
4. DFL->клиенту VPN - вот то, что ты просил.

Так вот мне нужен трафик п.п. 1, 4. Т.к. он тоже для меня внешний, т.е., тарифицируемый.

А еще, как Вы уже поняли, хочу возможности переключения исходящих адресов в NAT-правилах.

ну не вижу проблем, поствьте логирование правил NAT PPTP_SERVER -> WAN, и на syslog будет валится информация о байтиках бегающих внутри туннеля без учёта GRE или PPP заголовков.

По поводу алиасов, такой возможности добавлено не будет.

Это будет информация о том, что сам DFL идет на WAN и что-то там. А мой трафик, таким образом, вдвое больше: от клиента к DFL, от DFL в интернет и обратно таким же путем. Правильно?

Нет не правильно. Я невижу логики в Вашем описании. Если ставим логирование правила от туннеля в интернет, то и трафик будет считаться именно этот, откуда удвоение?

где двойной трафик?

А я плачу за: PPTP_Client->VPN (мой входной трафик), DFL->Internet (мой выходной трафик). И обратно тоже. В Вашем варианте 100 байт в точке "VPN" обернутся для меня в 100+заголовки PPP байт входящего и 100 байт исходящего.