Использую dfl-900
настроил VPN тунель
удаленная сеть 192.168.121.0
локальная 192.168.32.0
настроил фильтры разрешающие исх. и вх. трафик из (в) удаленной сети

в итоге получилась странная картина: одни и те же входящие соединения то проходят, то блокируются

пробовал менять настройку block all fragment packet -- не повлияло

вот лог

WAN1 LAN1 Block Default
72 2004-12-22 14:17:16 192.168.121.1 192.168.32.1 ICMP WAN1 LAN1 Forward VPN_a
73 2004-12-22 14:17:17 63.246.128.110,3306 212.73.125.113,2142 TCP WAN1 LAN1 Block Default
74 2004-12-22 14:17:18 63.246.128.110,3306 212.73.125.113,2142 TCP WAN1 LAN1 Block Default
75 2004-12-22 14:17:20 192.168.121.10,15343 192.168.32.213,1720 TCP WAN1 LAN1 Forward VPN_a
76 2004-12-22 14:17:20 192.168.121.10,30006 192.168.32.213,16392 UDP WAN1 LAN1 Forward VPN_a
77 2004-12-22 14:17:22 63.246.128.110,3306 212.73.125.113,2142 TCP WAN1 LAN1 Block Default
78 2004-12-22 14:17:22 69.50.161.58,4661 212.73.125.113,1756 TCP WAN1 LAN1 Block Default
79 2004-12-22 14:17:25 63.246.128.110,3306 212.73.125.113,1762 TCP WAN1 LAN1 Block Default
80 2004-12-22 14:17:26 192.168.121.1 192.168.32.1 ICMP WAN1 LAN1 Forward VPN_a
81 2004-12-22 14:17:26 192.168.121.10,15343 192.168.32.213,1720 TCP WAN1 LAN1 Block Default
82 2004-12-22 14:17:27 192.168.121.10,15343 192.168.32.213,1720 TCP WAN1 LAN1 Block Default
83 2004-12-22 14:17:29 69.50.161.58,4661 212.73.125.113,1979 TCP WAN1 LAN1 Block Default
84 2004-12-22 14:17:30 63.246.128.110,3306 212.73.125.113,2142 TCP WAN1 LAN1 Block Default
85 2004-12-22 14:17:31 192.168.121.10,15343 192.168.32.213,1720 TCP WAN1 LAN1 Block Default

это глюк? или может какая-то настройка по умолчанию режет соединения

Чтоб вам помочь было б неплохо представлять что и как у вас устроено. Какие адреса с одной стороны, какие с другой, версии прошивок, установки туннеля, какое устройство с другой стороны... Одним словом http://www.dlink.ru/phorum/doc.php пункт 5.

_________________
С уважением -- Александр Шебаронин.

локальная сеть 192.168.32.0
dfl-900 NetOS Ver1.600 (DFL-900) #1: Fri Jul 30 18:43:10 CST 2004

удаленная 192.168.121.0
dfl-700 Firmware version: 1.21.00

IPSec тунель
между сетями 192.168.32.0 и 192.168.121.0
Negotiation Mode Main
Encapsulation Mode Tunnel
ESP Algorithm Encrypt and Authenticate (DES, MD5)
Transport Layer Protocol ANYTCPUDP
Enable Replay Detection NO
Negotiation Mode Pre-Shared Key
SA Life Time 3000 sec
Key Group DH1
Encapsulation Tunnel
Active Protocol ESP
Encryption Algorithm Encrypt and Authenticate (DES, MD5)(SHA1)
SA Life Time 3000 sec
Perfect Forward Secrecy(PFS) None


в удаленной сети dg-104SH 192.168.121.10
в локальной dwg-1104th 192.168.32.213

звоним с dg-104 на dwg-1104
получается что voip соединение из удаленной сети в локальную то устанавливается, то нет
в обратную сторону без проблем

начал смотреть лог вышло что правилом разрешено соединение, а блокируется
такое впечатление что есть еще какое-то внутреннее правило


посмотрел на dfl-900 настройки
Denial of Service Thresholds:
пробовал их менять не помогло
тем более что блокировка там отключена

в этой же конфигурации еще одна проблема
как я понимаю вызвана тем же

с 192.168.32.250 хочу зайти на web-интерфейс dg-104 192.168.121.10
в ответ на ввод адреса в эксплорере
в строке статуса получаю "Открытие страницы http://192.168.121.10/html/Hlogin.html" жду этого открытия но оно так и не происходит
по идее должен появиться экран с кнопкой типа "нажмите чтобы ввести пароль"

в логе вижу, что

242 2004-12-27 11:42:35 192.168.121.10 192.168.32.250 TCP WAN1 LAN1 Block Default
243 2004-12-27 11:42:36 192.168.121.10,8161 192.168.32.213,1720 TCP WAN1 LAN1 Block Default
244 2004-12-27 11:42:40 192.168.121.1 192.168.32.1 ICMP(8) WAN1 LAN1 Forward in_VPN_a
245 2004-12-27 11:42:42 192.168.121.2,1969 192.168.32.6,135 TCP WAN1 LAN1 Forward in_VPN_a
246 2004-12-27 11:42:45 192.168.121.10,2048 192.168.32.213,1720 TCP WAN1 LAN1 Block Default
247 2004-12-27 11:42:45 192.168.121.2,1970 192.168.32.6,1030 TCP WAN1 LAN1 Forward in_VPN_a
248 2004-12-27 11:42:46 192.168.121.10 192.168.32.250 TCP WAN1 LAN1 Block Default
249 2004-12-27 11:42:50 192.168.121.2,137 192.168.32.6,137 UDP WAN1 LAN1 Forward in_VPN_a
250 2004-12-27 11:42:50 192.168.121.1 192.168.32.1 ICMP(8) WAN1 LAN1 Forward in_VPN_a
251 2004-12-27 11:42:53 192.168.121.10,4015 192.168.32.213,1720 TCP WAN1 LAN1 Block Default
252 2004-12-27 11:42:57 192.168.121.10 192.168.32.250 TCP WAN1 LAN1 Block Default
253 2004-12-27 11:43:00 192.168.121.1 192.168.32.1 ICMP(8) WAN1 LAN1 Forward in_VPN_a
254 2004-12-27 11:43:09 192.168.121.10 192.168.32.250 TCP WAN1 LAN1 Block Default

т.е. dg-104 пытается инициировать ответное соединение, но оно блокируется
еще вызывает вопрос то что обычно в записи отражается номер порта для TCP соединения, а в данном случае нет
254 2004-12-27 11:43:09 192.168.121.10 192.168.32.250 TCP WAN1 LAN1 Block Default

если на dfl-900 я отключаю Enable Stateful Inspection Firewall
то все работает

Сходу идей нет. Попробую построить стендик...

_________________
С уважением -- Александр Шебаронин.

Александр, какие-нибудь идеи появились?
Как же все-таки поглубже залезть в dfl-900?
Получается так:
я настраиваю правило разрешающее определенный траффик.
формально (по тем полям, которые есть в настройках правил) все пакеты отвечают этому правилу, но вот некоторые все-таки блокируются.
выходит что есть еще какие-то настройки, не отраженные в интерфейсе, ограничивающие этот трафик?
типа как если бы не было галочки Block all fragment packets,
а экран по умолчанию резал бы такие пакеты
и ни чего нельзя было изменить

жду любые идеи

а то у меня получается проблема со связью.
для пользователя это выглядит так:
есть 2 ip-канала между офисами для исходящей связи
если ни один не занят, то можно спокойно звонить и по первому и по второму
если по одному уже кто-то говорит, то на втором тишина
а я в логах вижу что блокируются разрешенные соединения

Хотелось бы увидеть ответ...