картина следующая.
Имеется dfl 800, на wan приходят входящие pptp подключения.
адреса клиенты получают 10.78.4.0/24
Lan интерфейс подключен к Гейту организации, где все это маршрутизируется по-средствам Kerio с другим inet каналом, и несколькими подсетями офиса.
При подключении клиента все прекрасно пингуется, но к сожалению трафик не гоняется, в ip-rules есть правила разрешающие any to core, pptp to lan и lan to pptp.
Подскажите, что еще можно посмотреть. Задача стоит раздавать интернет с керио vpn-клиентам dfl-а

По подробнее топологию изложите, желательно с указанием IP

lan интерфейс: ip 10.78.4.1
net 255
gw 10.78.4.2 (то что на сетевушке керио)
wan интерфейс: ip x.x.x.106
net 255.255.255.248
gw x.x.x.110
pptp server in ip 10.78.4.3
out ip = wan ip
net 255.255.255.0
локалка за керио имеет вид 10.78.0.0/22

Правила ip rules разрешают any--all nets to core--all nets
lan--all nets to pptp--pptp ip-pool
pptp--pptp ip-pool to lan--all nets
Галочки на сервере pptp, чтоб в обход правли идти сняты.
В таблице маршрутов описаны сетки lan, wan, pptp. существует только один гейтвей: 10.78.4.1
Имеем уверенный пинг по всем направлениям, и отсутствие какого-либо трафика.

lan интерфейс:
ip 10.78.4.1
net 10.78.4.0/23
gw 10.78.4.2 (то что на сетевушке керио)
wan интерфейс:
ip x.x.x.106
net 255.255.255.248
gw x.x.x.110
pptp server
in ip 10.78.4.1
ip-pool 10.78.4.3-10.78.4.254
out ip = wan ip
net 255.255.255.0
локалка за керио имеет вид
10.78.0.0/22

Правила ip rules разрешают
any--all nets to core--all nets
lan--all nets to pptp--pptp ip-pool
pptp--pptp ip-pool to lan--all nets
Галочки на сервере pptp, чтоб в обход правли идти сняты.
В таблице маршрутов описаны сетки lan, wan, pptp. существует только один гейтвей: 10.78.4.1
Имеем уверенный пинг по всем направлениям, и отсутствие какого-либо трафика.

на WAN адреса реальные?

да, именно такие с крестиками и вводил

во всем вышеописанном разобрался, вроде.
осталась одна проблемка:
снаружи из интернета перестал пинговаться dfl.
Подскажите, плз. какие параметры файервола могут быть тому виной, и где их настраивать.

инструкции для отработки tracert по faq не помогли.
прошивка 2.20.01
серьезно, отпишите необходимые шаблоны ip-rules, уже не знаю что смотреть.

Вам надо создать правило аналогичное правилу по умолчанию ping_fw только фильтры интерфейсов укажите wan -all-nets -> core wan_ip

Не помогло, еще какие-то тонкости могут быть?
правило wan-all_nets core-wan_ip ping_inbound есть, стоит первым.
но интерфейс по-прежнему не пингуется снаружи.

Взможно из-за маршрутизации, icmp жестко кудато заворачивается.

у меня в таблице саршрутов есть следующее:
pptpin lan_net
lan all_nets lan_gw
core all_nets
wan all_nets
lan lan_net
wan wan_net
Что еще требуется, может я не понимаю, но мне кажется что все сети описаны?
в ip rules при этом:
ping_fw allow wan all-nets core wan_ip ping_inbound
any2core allow any all-nets core all-nets all_services
in_wan allow any all-nets wan wan_ip all_services
pptpout allow pptpin pptp_pool lan all-nets all_services
pptpin allow lan all-nets pptpin pptp_pool all_services

так что делать-то?

создал конфиг с нуля,
при наличии в роутинге маршрута
wan - all-nets - wan_gw
все пингуется как надо, но как только я прописываю второй маршрут с гейтом.
lan - all-nets - lan_gw, все сразу же перестает пинговаться снаружи.
В чем может быть дело?

из-за того что у вас два маршрута по умолчанию, вам надо все разруливать используя PBR, посмотрите тему в топике там есть прикрепленный файл в котором боле подробно описано PBR, вам надо сделать альтернативную таблицу маршрутизации для wan, и создать правило PBR, которое бы использовала именно альтернативную табилцу маршрутизации для всего входящего трафика wan.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.