Здравствуйте, коллеги.
Один раз мне уже помогли здесь http://forum.dlink.ru/viewtopic.php?t=114384&highlight=, спасибо Прошу еще небольшой помощи.

Конфигурация практически не изменилась, за небольшими исключениями. Но приведу здесь для порядка. Устройство DFL-210 (2.26.00.06-12653)

Группа общих правил lan_to_wan:
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan all-nets ftp-passthrough
4 allow_standard NAT lan lannet wan all-nets all_tcpudp

Группа правил L2TP_Over_IPsec:
1 L2TP_Over_IPsec_Ingress Allow L2TP_Over_IPsec L2TP_Client_Pool lan lannet all_services
2 L2TP_Over_IPsec_Egress Allow lan lannet L2TP_Over_IPsec L2TP_Client_Pool all_services
3 L2TP_Over_IPsec_Internet NAT L2TP_Over_IPsec L2TP_Client_Pool wan all-nets all_services

и правила dmz:
1 allow-out NAT dmz gtw-server wan all-nets all_services
2 allow-out-lannet NAT dmz gtw-server lan lannet all_services
3 allow-DMZ_services-ext SAT wan all-nets core wan_ip DMZ_services
4 allow-DMZ_services-ext Allow wan all-nets core wan_ip DMZ_services
5 allow-DMZ_services-int SAT lan lannet core wan_ip DMZ_services
6 allow-DMZ_services-int NAT lan lannet core wan_ip DMZ_services
7 allow-DMZ_ext-IPSec SAT L2TP_Over_IPsec L2TP_Client_Pool core wan_ip DMZ_services
8 allow-DMZ_ext-IPSec Allow L2TP_Over_IPsec L2TP_Client_Pool core wan_ip DMZ_services
9 allow-DMZ_int-IPSec SAT L2TP_Over_IPsec L2TP_Client_Pool core lan_ip DMZ_services
10 allow-DMZ_int-IPSec Allow L2TP_Over_IPsec L2TP_Client_Pool core lan_ip DMZ_services
...предваряя возможные комментарии - да, dmz довольно условный. Он там такой не на всегда.

В настройках PPTP/L2TP Servers в Proxy ARP указан только lan (но пробовал добавлять и другие).
Честно признаться, даже предположений своих здесь писать не хочу, потому что уже все перебрал. Скорее всего где-то с nat намудрил, но может быть и нет. Так или иначе, у клиента, подключившегося по l2tp есть все, что нужно, за исключением wan_ip
Т.е. речь даже не идет о dmz. Ни управление самой dfl по https, ни обращение к 80 и 25 порту (сервера стоят в dmz), ни пинг.

В общем, прошу совета. Чего ему там не хватает?

Ему, как обычно, не хватает явных разрешающих правил.

Для управления - в разделе управления.

Для пинга, http, smtp - IP правил.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Когда вам надо сделать обращение от одного внутреннего клиента к другому, именно через опубликованные wan порты, надо не allow делать, а nat вторым правилом (это ваше правило №8). Ну и 9-10 выглядят бессмысленными.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Смысл вроде у них есть. Сделать через lan_ip полный аналог доступа через wan_ip.

А если задуматься - зачем это надо, то смысла и вправду нет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

чего-то я не догоняю
есть правило
L2TP_Over_IPsec_Internet NAT L2TP_Over_IPsec L2TP_Client_Pool wan all-nets all_services, разрешающее хождение в wan интерфейс, и есть есть правила
7 allow-DMZ_ext-IPSec SAT L2TP_Over_IPsec L2TP_Client_Pool core wan_ip DMZ_services
8 allow-DMZ_ext-IPSec Allow L2TP_Over_IPsec L2TP_Client_Pool core wan_ip DMZ_services
разрешающие хождение в dmz

устройство имеет два ip: публичный и частный. В частный и потом в dmz клиент l2tp ходит, в интернет тоже. Не ходит только в wan ip.

смысл в них есть. И очень простой: есть два собственника, которые пользуются сервисами dmz как извне, так и из локальной сети. И эти правила желают это использование прозрачным.

И кстати, если бы заработали правила 7 и 8, то от 9-10 можно было бы отказаться.

Ну и что изнутри - ведь обращаются к wan_ip? Значит работают правила L2TP_Over_IPsec/L2TP_Client_Pool core/wan_ip. Вот если обращение к lan_ip, то тут другое дело, правила надо оставлять. Но все равно менять allow на NAT.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

allow на nat менять не надо. пул адресов для l2tp входит в ту же сеть, что и lan
Сам dfl - 192.168.0.1, dhcp локалки раздает от 192.168.0.100 до 192.168.0.200, а l2tp - 192.168.0.50 до 192.168.0.99 соответственно.

В общем-то да, как я и писал, те два правила 9-10 мне по большому счету не нужны. Сделал их, для проверки доступности core lan_ip. Если заработает l2tp -> wan:wan_ip -> dmz, можно их будет и отменить.

"Не дайте помереть дурой" )) Что за правила такие волшебные? Я может быть интерфейсы путаю? Вроде все разрешено и заSATено...

А зачем это делать через SAT-Allow(NAT) как проброс портов. Почему просто Allow не сделать? Вроде прямая адресация.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да. Я посчитал, что беды в этом не будет.
Пробовал выносить в другую подсеть, но видимых изменений не узрел.
L2TP_Client_Pool в диапазоне от 50 до 99, lannet для клиентов dhcp от 100 до 200, сервера 192.168.0.2 и...192.168.0.1, который на самом деле в dmz и есть еще ряд правил, который форвардит нужные порты туда, но это работает. Маска сети соответственно /24
Сам dfl тоже изнутри 192.168.0.1.
L2TP:
Server IP = wan_ip
Inner IP Address = lan_ip
Proxy ARP = lan


Ок, вот они:

lan_to_wan
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan all-nets ftp-passthrough
4 allow_standard NAT lan lannet wan all-nets all_tcpudp

dmz
1 allow-out NAT dmz gtw-server wan all-nets all_services
2 allow-out-lannet NAT dmz gtw-server lan lannet all_services
3 allow-DMZ_services-ext SAT wan all-nets core wan_ip DMZ_services
4 allow-DMZ_services-ext Allow wan all-nets core wan_ip DMZ_services
5 allow-DMZ_services-int SAT lan lannet core wan_ip DMZ_services
6 allow-DMZ_services-int NAT lan lannet core wan_ip DMZ_services
7 allow-DMZ_ext-IPSec SAT L2TP_Over_IPsec L2TP_Client_Pool wan wan_ip DMZ_services
8 allow-DMZ_ext-IPSec NAT L2TP_Over_IPsec L2TP_Client_Pool wan wan_ip DMZ_services
9 allow-DMZ_int-IPSec SAT L2TP_Over_IPsec L2TP_Client_Pool core lan_ip DMZ_services
10 allow-DMZ_int-IPSec Allow L2TP_Over_IPsec L2TP_Client_Pool core lan_ip DMZ_services

L2TP_Over_IPsec
1 L2TP_Over_IPsec_Ingress Allow L2TP_Over_IPsec L2TP_Client_Pool lan lannet all_services
2 L2TP_Over_IPsec_Egress Allow lan lannet L2TP_Over_IPsec L2TP_Client_Pool all_services
3 L2TP_Over_IPsec_Internet NAT L2TP_Over_IPsec L2TP_Client_Pool wan all-nets all_services

Вот кажется все нужные параметры. Курсивом выделил то, что считал верным, но что не работает. 8-е правило менял на Allow - результат тот же. Правила указаны в том порядке, в каком стоят в конфигурации, естественно.
Еще раз спасибо, что откликаетесь.

У вас DMZ сервисы - TCP или UDP? Если первое, то попробуйте посмотреть в Status-Connection, ну и в логи - будет хорошо видно, что происходит.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

http://dlink.ru/ru/faq/85/479.html
шаг 13 выполнен?

Ну, вообще-то, в правиле 7-8 надо указать не wan, а core.

Вот это мне совершенно неясно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Там TCP. И вижу я там то, что и ожидал. Просто не пойму, как в этой железке этого избежать
делаю telnet my_public_ip 80
и вижу:
State Proto Source Destination Timeout
SYNACK_S TCP wan:"nat_public_ip":54472 dmz:"my_wan_ip":80 23

Видимо это та самая ситуация, когда форвардишь с гейтвея запрос на прокси в локальную сеть. Клиент ждет ответ от другого интерфейса, хотя прокси честно отвечает. И как этого избежать, если для работы интернет в l2tp_lannet таки должно быть правило, скрывающее его за nat?!

Попробовал сделать SAT правило, тупо форвардящее dmz_services на lan_ip, но и это не помогло.

Да, правда я по другому мануалу собирал, поэтому ставил там только для lan. Ну это я исправил.



Блин! Второй раз я на этом попадаюсь )))



Ну был сервер, он же гейт. Сервисы на нем остались, а гейт заменил dfl. Чтобы клиентов сильно не мучать (нежные они там очень), отфорвардил все что было на 192.168.0.1 в dmz. Обращается сетка по прежнему на этот ip.

...Ладно, утро вечером мудренее. Завтра проштудирую http://dlink.ru/ru/faq/85/479.html еще раз. Может и пойму, где накуралесил.
Спасибо!