Задача
Все Lan должны видеть друг друга и IPsec тунели.
Клиенты PPTP сервера должны видеть все Lan и IPsec интерфейсы и выходить во внешний мир через Wan интерфейсы.

Если включить на ланах Транспорент мод, то клиенты PPTP перестают попадать в Lan

Задачу пока смог реализовать только для интерфейса PPTP -> Wan1, PPTP <-> Lan1, Lan1 ->Wan1, IPsec<->Lan1

Саппорт вы где???? В ветке коммутаторов уже появились ....
О простых железяках можно и ответить ... тут посложнее задачки интересуют.

Что проиходит в остальных случаях?

В смысле???
задача стоит
Маршрутизация между Лан1 Лан2 и Лан3
Доступ удалённых пользователей и ко всем ланам и к инету через ван1 (PPTP IPsec)

Вы кем работаете?
Вас часто на работу в выходные дергают?
Тогда чего Вы ждете от саппортов? Они тоже люди и тоже отдыхают.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Задача конечно стоит...
Как оно сейчас настроено и что в логах?

Дошло уже что в Москве выходной.
Я сто в логах. Линки между сетями дропаются, линк из PPtP идёт только на лан 1.
Попробовал сгруппировать все ланы в группы и переписал правила доступа к группе. один... пптп работает только в лан 1.

Интересует как на сей железяке правильно настроить чтоб лан1 видел лан2 и лан3 и наоборот для начала.

В таблице маршрутизации все нормально?
Начите с двухсторонних разрешающих правил.

Для начала, правила allow между интерфейсам LAN. Поднять PPTP не как показанно в FAQ на сайте, а как бы сделать отдельный PPTP интерфейс, опять правила allow между всеми интерфейсами. По поводу IPSec, все Lan подсети (PPTP в т.ч.) в группу, эту группу подставить в local network, так же не забываем что удаленное устройство должно знать что за IPSec лежат эти сети. Дальше опять правила Allow для того чтоб ваши интерфейсы моги попадать в IPSec и получать из него трафик.

allow между интерфейсам LAN пробовал.
можно конкретный пример???
Пробовалд и просто allow и NAT ....
В правилах core должно участвовать ????

Конкретный пример для доступа из lan1 в lan2 и наоборот.

Action: allow
service: all_services

фильтры интерфейсов

Source Interface lan1
Source Network lan1net

Destination Interface lan2
destination Network lan2net

для доступа из lan2 в lan1

Action: allow
service: all_services

фильтры интерфейсов

Source Interface lan2
Source Network lan2net

Destination Interface lan1
destination Network lan1net

Данная схема работает с условием, что lan1_ip является шлюзом для lan1 а lan2_ip является шлюзом для lan2 или прописаны маршруты.

Ок
след вопрос как на нём прописать маршруты???
Lan1 192.168.223.0/24
Lan3 192.168.0.0/24

Задачка в том, чтоб существующую сеть (Лан3) на данный момент оставить без изменений, попутно перетаскивать все сервисы на лан1
Нормального рутера в лан3 нет но клиенты из лан3 должны попадать к сервакам в лан1 и дмз.

Прописал allow к сетям. С ДФЛ пингуется и лан1 и лан3
С серваков в лан1 ничего пингануть не могу. На серваках в лан3 прописан маршрут который заворачивает всё что для 192,168,0,0 на интерфейс лан1 ДФЛя.

Блин я начинаю нервничать с этой железякой.
САППОРТ объясните логику работы этой ..........
Работу правил понять не могу. Я ему запретил все пинги к маминой маме, а он попрежнему пинги пускает. Я ему говорю статический нат а он не натит!!!!
КАК ОНО ЛОГИЧЕСКИ УСТРОЕННО???????

Я ему ставлю дроп пингов ВСЕХ первым правилом.....
HZ Drop all-lan all-nets all-lan all-nets all_icmp
Allou-ping-all-lan Drop all-lan all-lannet core all-lannet ping-inbound
Это первые два правила конфиг сохранил и применил
А ОНО ПИНГУЕТСЯ
Как применяются правила????

Достала она меня.
Вобщем поставил сервак с 3 интерфейсами, настроил нат и рутинг всё работает. ПОЧТИ НЕДЕЛЮ УБИЛ А так и не понял как работает DFL-1600.
Читать мануалы и фак не посылайте, уже башка от них пухнет. Задачи предприятия какбы не должны подчиняться мануалам, а если брать логику работы из факов и мануалов и пытаться адаптировать .............


Пример первые два правила из корня
1 ip Allow pptp_server pptp_ippool all-lan all-nets all_icmp
2 AllouPing Allow pptp_server pptp_ippool core Net ping-inbound

и тутже из лога
2008-03-11
20:57:36 Warning RULE
6000051 Default_Rule ICMP pptp_server
192.168.1.200
172.16.9.32
ruleset_drop_packet
drop
Подцепился по PPtP. 192.168.1.200 эт мой текущий IP.
172.16.9.32 если зайти терминалом на сервак пингуется нормально.
Reply from 172.16.9.32: bytes=32 time=138ms TTL=126

И ещё вопрос к саппорту.
Можно ли как на киске править конфиг файл руками и заливать его в устройство????