Доброго времени суток.

Есть такая проблема: Настроил VPN между двумя DFL-700, пинги идут нормально, но нет доступа к сетевым ресурсам в противоположеной сети.
В логах DFL такие ошибки:

[2007-08-21 09:40:58] <5>EFW: DROP: rule=UnknownVLANTags action=drop reason=unknown_vlanid vlanid=1 recvif=WAN hwsender=0012:7f2f:a098 hwdest=0100:0ccc:cccc enetproto=0x8100

Причем тут виланы?
описания ошибки нигде не нашел.
В сетях стоят коммутаторы DES-1226G и DES-1250G с поддержкой vlan, возможно отсюда проблемы.

Это вещи не связаны. Сообщение в логах о том, что DFL видит и дропает тегированные пакеты. Это говорит о неверной настройке коммутаторов, которую надо поправить, но связь есть, раз пинги идут. Надо, помимо пингов, разрешить доступ и другим службам.

Обращение к ресурсам возможно по \\IP
По поводу остального ЮрийАМ прав. В сети ходят тэгированные пакеты о которых DFL ничего не знает.

Подскажите, а как создать правила влияющие только на VPN канал?

К примеру нужно чтобы из второй сети имели доступ через vpn только по портам ТСР 21, 25, 110, а все остальное, включая NetBios, блокировать, но при этом нужно чтобы интернет через WAN работал по другим правилам.

По умолчанию стоит настройка allow all VPN, она позволяет трафику попадать из туннеля и в туннель. Если эту "галку" снять, то уже будет возможность конфигурировать правила для доступа к !!любому туннелю!! как <- так и ->

т.е. нужно создать правило LAN->WAN к ipsec-natt или как?
но это правило, как я понимаю применяется к самому тунелю, а не к пакетам передаваемым по нему, или я не прав?
Подскажите плз где и как задаются правила применяемые непосредственно к тунелю, в Policy есть только LAN, WAN, DMZ.
Понимаю что что-то делаю не так, но что не так, не понимаю