Вопрос поднимался в этой http://forum.dlink.ru/viewtopic.php?t=107604 теме. Поскольку мой вопрос немного отличается и та тема была исчерпана, я создал отдельную тему.

Теперь собственно по существу.

Поднял на первом WAN1 IPSec. В качестве клиентов использую DI-804HV (порядка 15-20 устройств). Все работает нормально. WAN2 смотрит на второго провайдера (почта). На WAN1 поднял PPTP server для удаленного доступа отдельных сотрудников.
Соединение со стандартного виндового клиента проходит отлично, но вот в чем беда - доступ к одним компьютерам отсутствует, а к другим есть. Через некоторый произвольный промежуток времени доступ к компьютерам появляется, но пропадает к тем, которые были доступны ранее. И так по кругу. Доступные и пропадающие ПК каждый раз разные.
Очень необходимо разрешить эту проблему.

Подозреваю, что загвоздка в маршрутизации, т.к. при пинге недоступного ПК в логах DFL выдает следующее:


где 192.168.0.218 адрес выданный клиенту, а 192.168.0.4 пингуемый узел. Т.е. ответный пакет заворачивается на wan2, а по логике вещей должен идти на wan1.

Маршруты:


main:


wan2route:


Routing Rules:
Маршрут для доступа почтового сервера к каналу провайдера



PPTP server:


VPN-PPTP:

А у Вас очень много ошибок в настройках. Непонятно, как вообще все это хозяйство работает

1) в таблице main зачем маршрут lan all-nets lan_ip, да еще с той же метрикой, что и wan-интерфейс? Почему там же на wan2 та же метрика? У Вас разве есть балансировка между провайдерами?
2) "Маршрут для доступа почтового сервера к каналу провайдера" - а я не вижу там маршрута именно для почтового сервера. Я вижу, что все пакеты из LAN до all-nets должны идти через таблицу wan2route, в которой наименьшая метрика у интерфейса wan2, потому пакеты туда и заворачиваются.
Решение: либо в настройках Routing Rules поставить в поле SourceNetwork вместо lannet конкретный IP почтовика, либо (если надо, чтобы почта всех клиентов из LAN шла через второго провайдера) выбрать в поле Service конкретный сервис - POP3/SMTP. Вс еостальные пакеты не подпадут под это правило и отправятся искать пути в таблице main, в которой надо пропистаь маршрут до клиентов, подключенных к VPN-PPTP следующим маршрутом:

Type: Route
Interface: VPN-PPTP
Network: pptp_pools
Metric: 90

Не забудьте проверить IPRules, что там есть соответствующие разрешения.
И еще, судя по описанию, адресация 192.168.0.х как для локальных клиентов в LAN, так и для удаленных, подключающихся к VPN-PPTP? Или все-таки у них разные маски подсети и адреса 192.168.0.4 и 192.168.0.218 лежат в разных подсетях? Просто из описания это непонятно. Если все-таки маска 255.255.255.0, то необходимо в настройках сервера VPN-PPTP выбрать lan в настройках Proxy ARP, чтобы DFL отвечал на ARP запросы клиентов в LAN. (Уважаемая техподдержка, это надо делать, верно? Или DFL сам автоматом ответит на ARP, зная кому и какой адрес был выдан?)

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Dima G., вы абсолютно правы по поводу Proxy ARP. Дополнительно скажу, что выдаваемые РРТР клиентам IP адреса должны быть свободны в LAN.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Угу, уже обновил память, заглянув в мануал


+1. А чтобы не было конфликта, советую автору либо ограничить размер адресов, выдаемых DHCP (чтобы не пересекался с диапазоном pptp_pools), либо создать IPPool с привязкой к внутреннему DHCP на LAN интерфейсе, и уже этот пул использовать для выдачи адресов удаленным клиентам.
Кстати, насчет моего вопроса в п.1. ("в таблице main зачем маршрут lan all-nets lan_ip"). ЧТобы избавиться от него, надо снять галочку Interfaces - Ethernet - lan вкладка Advanced, пункт "Automatically add a default route for this interface using the given default gateway". По умолчанию она там и не стояла.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Галка там всегда стоит. Тут вопрос в другом. Зачем на интерфейсе LAN шлюз? И почему вместо lannet стоит all-nets?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Dima G. Огромное СПАСИБО! Действительно ошибок много, Вы уж извините, пытался всякими безумными способами заставить работать и просто не всё повозвращал обратно

danilovav К вопросу о адресации. Пул адресов не пересекается с локальными адресами (т.е. выдаваемые клиентам адреса в локальной сети ни кем не заняты).

Dima G. Сделал всё, как Вы описали. Всё заработало. Еще раз СПАСИБО, а то уже просто мозги закипели и вошел в ступор

lexa14, ну я рад за Вас, честно!

Лишний раз, читая форум, убеждаешься, что новая линейка DFL крайне надежна и стабильна, если не считать нескольких признанных багов. А большинство проблем на 99% от некорректных настроек.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)