Добрый день.
Имеется сеть за DFL-800. В общем все стандартно. Одна подсеть, больше 10 машин. На одной машине имеется VPN клиент. А именно злополучный SecuRemote от Checkpoint. Если трафик отправлять напрямую с хоста (как угодно, модем, модем который подключается через ethernet, даже с включенным NAT) все великолепно работает. Как только включается nat (в сетке присутствует больше одного компа), все перестает работать. Все дело в IPsec протоколе и его туннеле через DFL. Или даже просто в NAT.
Нашел в настройках System->Advanced Settings->IP Settings очень интересную галочку SecuRemoteUDP Compability (Allow IP data to contain eight bytes more than the UDP total length field specifies -- Checkpoint SecuRemote violates NAT-T drafts).
Может там вообще какие то специальные настройки надо делать непосредственно под этот VPN-клиент.
Самое главное в логах я ничего не вижу (вполне возможно, что тупо смотрю не туда). Никто не блокирует трафик с внутреннего и внешнего IP.
Подскажите пожалуйста, что делать.

_________________
я добрый...
но не со всеми...
и не всегда...

По умолчанию устройство не выпускает GRE протокол, вам надо создать правило с сервисом pptp-suite и поднять его над основными правилами.

А по подробнее - правило NAT SAT или что то еще или оба. Пример если не сложно. И меня принципиально интересует - это точно относится к SecureRemout?

_________________
я добрый...
но не со всеми...
и не всегда...

Вам надо выпустить, поэтому нужно правило NAT, объедените необходимые вам службы а в группу а затем подставьте в NAT правило. Какие сервисы необходимы можно проследить по логам.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Создал NAT правило service=pptp-suite внутренние интерфейсы LAN - локальный IP - внешние wan1 - all-nets. Переместил выше всех остальных. После запуска клиента происходит тестирование соединения и он выдает сообщение TUNEL TEST FAIL (тест туннеля не пройден) и доступа к сайту (с которым и происходит работа) нет. Хотя соединение считается созданным.
Правило в логах не появляется - значит не срабатывает.
В логах локальный IP есть только
- Default_Rule - IGMP - ruleset_drop_packet drop
- TTLOnLowMulticast - UDP - ttl_low drop

Причем последний дважды. [/img][/i]

_________________
я добрый...
но не со всеми...
и не всегда...

Ну... Похоже никаких мыслей по этому поводу нет???
Предложите еще что нить. Очень хотелось бы чтоб работало.

_________________
я добрый...
но не со всеми...
и не всегда...

Это не относиться к VPN. Посмотрите нет ли DROP от IP с которого разрешали доступ?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Нет. С нужным IP нет.
Есть только coon_open и conn_clous с тем IP, что нужен.
И по середке эти два лога.

_________________
я добрый...
но не со всеми...
и не всегда...

тогда надо для начала точно выяснить какие порты и протоколы использует ваш клиент, сделать это можно просто, выведите этот компьютер в DMZ, не настраивайте разрешающих правил, а затем попробуйте соединятся, логи с этими записями приведите сюда.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Есть документация, как по Securemote, так и по конечному продукту. Там все порты описаны. Меня беспокоит, что в логах не отражается эта деятельность. Вроде во всех IP Roule поставил галочку Enable Log.
Создал правило на основе сервиса PPTP suite. Добавил в новую группу запихнул туда PPTP-suite и IPSec-suite. Ничего. Conn_open. Программка заявляет user autetificate а потом tunnel test failed - и типо соединение есть. Только ничего все равно не работает.

_________________
я добрый...
но не со всеми...
и не всегда...

Перечислите порты и протоколы необходимые для работы этой программы указанные в документации.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

UDP 259
UDP 500
UDP 2746
UDP 18234

TCP 264
TCP 500
TCP 8000

_________________
я добрый...
но не со всеми...
и не всегда...

Чет меня игнорируют. Обидно.

_________________
я добрый...
но не со всеми...
и не всегда...

Просто супер. Никто не пользовался. И никто не знает как это настраивать. Ладно. До лучших времен.

_________________
я добрый...
но не со всеми...
и не всегда...