Исходящий трафик от DFL, когда он коннектится к провайдеру, идет с произвольного порта, а не с того же. PPTP-сервер DFL будет слушать на порту TCP/1723. В отношении GRE тоже все ОК.

Да.


То же самое проделать с правилами Authentication.

Почему одна? И сейчас также будет две. Ничего на LAN/WAN менять не надо. Клиенты в WANе, оттуда же и подключаться будут. Не волнуйтесь, DFL умеет из WAN снова отправлять в WAN, но уже с NATом и через VPN-клиента

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Ок понял.
Первое сделал второе вы имели в виду.
User Authentication Rules

Тут у нас pptp_rule

Originator IP: wannet

Terminator IP: wan_ip

Теперь видимо к таблице маршрутизации нужно вернутся, что там делать в таком случае ?

Ну и вопрос, как управлять железом если я вылез из ЛАН порта, ведь там была такая же подсеть как выдано провайдером, а в WAN порту другая подсеть, менять айпи не желательно, разьве что я поменяю сейчас настройки WAN порта на свою подсеть.

Ну и последняя проблема.
WAN порт имеет ограниченную маску сети класса С, а сеть провайдера В класса, получится что юзеры которые выйдут за пределы класса не будут иметь доступ к устройству.

Вот чтобы не было такой проблемы, в Originator IP (выше) вместо wannet надо прописать all-nets. Тогда любой IP из любой подсети со стороны WAN получит доступ.

Ничего. Все оставить как есть. Только раз уж Вы сказали, что подключаться будут и те, кто находится вне диапазона wannet, то для этих подсетей необходимо дополнительный маршрут по аналогии с маршрутом № 5 (wan wannet). Например,

Route wan some_net 100

Короче, чтобы к ним был доступ по локалке провайдера через интерфейс WAN. Можете сделать кучу подсетей в адресной книге, а потом объединить их в группу и указать эту группу в маршруте через wan.
Управлять откуда? Железка у Вас дома? Ну так Вы сами подключены к LAN-сегменту, верно? Ну вот оттуда и управляйте на здоровье, соединяясь по 192.168.х.х

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Нихрена не понял порядок действий.

Давайте по порядку куда зайти что нажать.
И первое главное.
Провайдер для меня сделал маршрут из двух сетей, тоесть я могу к интернету коннектится и с зоны 172 и 192.
192 зону специально подняли чтобы роутер мог правильно работыть когда две разные подсети.
Я могу настройки ван поменять на 172 и начинать плясать от этого.

1) User Authentication Rules. В Originator IP (выше) вместо wannet надо прописать all-nets
2) В таблице маршрутизации main добавить маршрут:

Route wan some_net 100

где some_net - адреса, с которых тоже должен быть доступ к PPTP-серверу DFL, но эти адреса лежат вне подсети wannet

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Многоуважаемый Dima G. а давайте переведем нашу беседу в ICQ ? если вам не трудно ?

В ЛС напишите свою icq, ближе к вечеру смогу только.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Дима. Если ты сюда забежишь сегодня, то вот что.
Почемуто pptp клиент не поднимается настройки уже много раз проверил и в логах нет ничего про это.

Интерфейс сам говорит вот что.

Это мы приватно выясним. Одной температуры недостаточно для диагноза

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Благодаря усилиям Дмитрия, всё получилось и работает отлично.
Думаю в фаг было бы неплохо добавить похожий конфиг.

А задача была такова.
Берём интернет у самого провайдера, и внутри самой сети раздаём его друзьям на встроенном PPTP сервере DFL, достаточно только WAN порта.

Всем спасибо за помощь и за внимание, железяка отличная и очень хорошо продумана.

Если вы подготовите материал, мы с удовольствием его разместим.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Такая задача и вправду возникает нередко и ее вполне можно назвать типовой.

Вот только надо ли ее специально документировать? Там, грубо говоря, 2 аспекта:
1. Настройка PPTP сервера, что и так хорошо описано.
2. Разрешение доступа в инет для PPTP клиентов. А это одно правило.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.