Помогите настроить VPN (мануалы читал - кстати мануал с сайта не соотвствует мануал на FTP).

Два файрвола соеденены через АДСЛ-интернет. Один из них раздает интрнет в локальную сеть.
Сервером pptp работает 800-й (внешний ip 80.80.*.* , внутренний ip 10.0.0.1 , lan 10.0.0.0/24). Клиент - 210-й(внешний ip 77.77.*.* , внутренний ip 192.168.1.1 , lan 192.168.1.0/24).

Настройки 210-го (клиента):
В address book - remotenet (10.0.0.0/24) и remotegw (80.80.*.*).

PPTP Client - PPtP_client PPTP remotegw remotenet user No (add routу for remote network - 90)

Правила

1 from_pptp Allow PPtP_client remotenet lan lannet all_services

2 to_pptp Allow lan lannet PPtP_client remotenet all_services


Настройки 800-го (сервера):
В adress book - remotenet (192.168.1.0/24), ip-pool (10.0.0.100-10.0.0.200)

Создан пользователь user в user auth/local user db/pptp user (с Networks behind user - remotenet и Metric for networks - 90).

User auth rules:
1 pptpua PPP Local PPtP_server (Originator IP - all-nets , Terminator IP - wan1_ip)

PPtP servers:
PPtP_server с Inner IP Address - lan_ip , Outer Interface Filter - any, Server IP - wan1_ip (В ip pool указано ip-pool и на вкладке add route стоит галочка "Always select ALL interfaces, including new ones").

Правила следующие:
1 from_pptp Allow PPtP_server ip-pool lan lannet all_services
2 to_pptp Allow lan lannet PPtP_server ip-pool all_services


Клиент(210-й) пишет, что туннель установлен.
Но как мне теперь две сети связать? Метрики другие ставить?

С 210-го пингуется lan 800-го. Но с внутренних клиентов 210-го (если я им его указываю шлюзом) не пингуется и не видно ничего из lan 800-го.

С 800-го же не пингуется лан 210-го вообще.

Помогие с настройкой пожалуйста, совсем уже замучался. Что нужно проставить чтобы была маршрутизация? что нужно указать у внутренних клиентов обоих сетей?

Заранее спасибо с большой надежой на помощь!

На 800 прописать разрешающие правила lan lannet -> pptp сервер - remote net и обратно.

Так эти правила есть

1 from_pptp Allow PPtP _server ip-pool lan lannet all_services
2 to_pptp Allow lan lannet PPtP_server ip-pool all_services

Или вместо ip_pool прописать remotenet? Или не вместо, а еще правила создать?

У вас в этих правилах разрешен доступ к PPTP пулу адресов, т.е. к клиентам которые подключатся к устройству. вам надо создать правла коьторые бы разрешали ДОПОЛНИТЕЛЬНО обращение к интерфейсу PPTP сервера и сетью за удаленным пользователем.

Все равно пинг не идет - компы не видны.

В логе появилось вот это

2008-04-24
15:12:56
Warning RULE 06000051 Default_Rule UDP lan 10.0.0.2 10.0.0.1 4709
53 ruleset_drop_packet
drop
rev=1 ipdatalen=40 udptotlen=40

Вы предоставляете не те строчки логов, у вас pool начинается *.*.*.100, вы же предоставляете *.*.*.2 так же обратите внимание на то, что без дополнительных правил, lan_ip не смогут пинговать пользователи подключившиеся к устройство по PPTP.

а маршруты прописаны примерно такого вида?
route add -net 10.0.0.0/24 gw 192.168.1.1 - на клиенте
route add -net 192.168.1.0/24 gw 10.0.0.1 - на сервере

при этом как минимум 192.168.1.1 и 10.0.0.1 должны пинговать друг друга при установленном туннеле.

это по опыту поднятия туннелей между другими системами, с dlink-ами по аналогии представляю.

hhr
На клиенте маршрут есть (только без указания gw).
На сервере его нет. Создавать самому? Не сгенерировался автоматом.

Sergey Vasiliev
С другого устройства в логах ругани не пишет.

Какие именно правила нужны для того, чтобы lan_ip могли пинговать(и вообще весь доступ) подключившихся по PPTP и наоборот.

Кроме того на обоих стало появляться в логе

2008-04-24
15:56:51 Warning ARP
00300049 Default_Access_Rule wan1_phys
213.27.7.1

invalid_arp_sender_ip_address
drop
rev=1 hwsender=00-17-e0-e2-ec-1a hwdest=ff-ff-ff-ff-ff-ff arp=request srcenet=00-17-e0-e2-ec-1a

прочитайте мои посты выше я описал необходимые правила уже.

Я так понимаю имеется ввиду вот это - "вам надо создать правла коьторые бы разрешали ДОПОЛНИТЕЛЬНО обращение к интерфейсу PPTP сервера и сетью за удаленным пользователем."?

Можно на примере ибо голова уже кипит?

Теперь уже оба файрвола пингуют друг друга.
800-й не пингует сеть за 210-м. И клиенты этих обоих сетей не пингуют друг друга. что необходимо в правилах написать? Очень желателен пример ибо я уже потерялся...

Так есть какие-нибудь идеи по правилам?
Очень хотелось бы пример на моем варианте.