1. Dns стоит первым ибо как я понял так и должно... меняешь ниже.. Днс дропаеца Вообще

2.ну тогда для простоты можно вообще сделать групу Сервисов на выход.. и по нужде добавлять туди их.. будет общее правило на NAT!

3.All_services я добавил в ту группы и была она там.. просто не видно!

4. не понял про какой NAT???
1 taxcom_rule Allow lan1 lan1net wan1 taxcom pop3
2 taxcom_smtp_rule Allow lan1 lan1net wan1 taxcom smtp

5.Серверы PPTP/L2TP
не чче не понял? причем тут отдельная сеть ?? есть пул адресов которые назначаюца не зависимо от сети!

ап

1,4. Сорри, просмотрел направления правил.

2. Можно... Но для простоты отладки лучше сделать одно NAT правило для all_services и выше (если срочно надо из локалки вовне доступ) для FTP, SIP, IPsec, PPTP

3. Замениите ваш набор правил ОДНИМ

5. Есть два варианта с настройкой РРР серверов.
1) Вы выделяете отдельную подсеть (не включенную в ваш lannet) для РРР сервера и потом делаете маршрутизацию руками
2) Вы выделяете сегмент из lannet и делаете ARP proxy.
Судя по вашему inner ip = lan_ip, у вас именно вариант №2

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

сразу перейду на 5 пункт!
как работает PPTP!
тоесть выделаю Пул адресов на основание чего выдает pprpServer адреса для регистрации.. и все!

по поводу сразу все вешать на NAT, как то не хочеца... ибо проще открыть то точ требуеца для работы!

ведь не каких НЕ правильных правил нету ведь...??? хотелось бы услышать ваше мнение!
строить правила я понял как на основание всех FAQ на сайте...
но все равно остаеца не понятным как работает САМ PPTP Server Ибо не понятно даже по FAQ как и на каком оснвоание лепяца к нам пользователи.... основной порт 1723 вообще не указываеца в правилах... зато после дисскусий с вам стало понятно что надо делать правило Дролнительное и Разумное! (чего нету в FAQ)!!

ведь нету же ошибок ни в правилах ни в маршрутах.... И вопрос о коректности PPTP и Ipsec остаеца открыт!!

НЕ работает Соединение через GPRS+ при создание Ipsec тонеля начинает Дико тормозить Доменная Авторизация для почты! все манипуляции по тонелю ТОРМОЗЯТ или вообще не открывают... была надежда на решение проблемы c MTU но ни сотрудники DLINK не уважаемые пользователи не знают как правильно расчитать его! и хоть даже если его расчитать, тоя считаю не правильно Указывать вычесленный MTU на каждой машине пуками в РЕЕстре! ибо Данная железка не может работать корректно!! получаеца железки не могут решить какого обьема слать покеты и какого принимать.. ИДИотизм... а ещё говорят что мы лучше Циски!!


PS/ Форумчане помогите решить проблему c PPTP serverом! Ибо разница не ДОЛЖГО быть ни какой откуда я леплюсь на него! хоть из комоса, я должен прилепица, ибо другие лепяца, а через GPRS нельзя!!

Правила allow pptp-suite нет в FAQ потому что галка allow PPTP before rules по умолчанию включена. Соответственно, РРТР сервер доступен сам по себе.

По поводу MTU и IPsec. Есть НЕ подтвержденная информация (поставил в одной сети, мониторю результат) - выставить MTU 2000 для IPsec интерфейса. SMTP и не работающие ранее службы заработали, возможно будет работать и домен (его в той сети нет).

По поводу VPN через GPRS. Я бы не искал проблему в DFL, скорее всего это опсос применяет компрессию (в т.ч. и на уровне протоколов) трафика - для РРТР это выливается во включение LCP 7 (MPPC), чего DFL не поддерживает. Очень частая проблема корявых NATов. Не зацикливайтесь. Если DFL брался для безопасности, то РРТР это явно не то, во что надо упираться.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

кстате с этим правилом все равно по логам пишет что дропает порт 1723! ))

по поводу MTU хотелось бы решить вопрос на уровне железяк! что железки сами по себе разобрались кому каккой мощи кидать пакет!
по Ipsec тонелю в двух сторонах стоит по 1500 и лагает все Жутко!

Ты ставил 2000 на машина Юзеров или на двух сторонах железки??

ну по поводу безопасности, он хорошо на столько на сколько любой машрутизатор более 50 Тыщ.Р... тот же Зиксель, та же Циска, но нет ни на зикселе ни на Циске тех Функций за такие деньги....
Имхо Нахрена Писать Что все у них круто пашет, хотя потом на деле все идет через жопу, не хорошо народ то обманывать!!

тот же DI-804 получаеца такого же уровня что и DFL-1600 только все просто и тупо...

и все равно же хотелось за такие деньги получить весь наминал функций что указываеца!! и почему то все какашки всплывают после!

вот спрашиваеца почему LCP 7 (MPPC), не поддерживаеца??? если это используеца полноцено, почему не пишут в характеристиках!!
Прям так и хочеца взять черенок от лопаты да по хрептине!!

г-н 4iter13, прежде чем хаять железку, вы бы сначала привели свои настройки в порядок, судя по ним не удивительно, что у вас всё работает через пень-колоду.

Могу вам сказать что работа домена по IPsec работает на ура, и никаких проблем с двойной авторизацией никогда не наблюдал.. так же как работу доменной машины по VPn ( в моё случае L2TP over Ipsec). Всё завсит конечно от качества связи, и как вы на grps собрались "нормально" работать я себе слабо представляю, максимум что можно по нему пускать - это тонкие клиенты., и от них уже требовать хотябы что-то.

А ваше сравнение DFL и DI серии совсем не уместны ибо смысл юзать простой pptp когда устройство позволяет использовать более продвинутые вещи., которые отрабатывают куда стабильнее древнего pptp.

По проблеме с MTu - это не "косяк" DFL, а надо это принимать как данное, особенно при использование любого тунелирования на любом девайсе. будь-то длинк, циско или любой другой. Для того и сущевствуют настйроки MTu, TCP MSS , VPN MSS. etc

Ну если ВЫ Говорите что у меня что-то не правильно, не вопрос Кидаю настройки скринами!! в этом топике все есть!
viewtopic.php?p=625102#625102

ВСЕ настроенно по FAQ!!! что PPTP ISEC!!!! не вопрос я не утверждаю что у меня всё изумительно.... но и не говорю что полный срач....
Пожауйста смотрите и обосновывайте!!

а по какая разница что откуда я подключаюсь на PPTP???
да я хоть из космоса.. хоть ОТКУДА!! если идет конект на порт и авторизация... ВСЕ!!!!! есть правила.. они конектяца а другие ШИШ!!!
не надо говорить что я меня все через пень колоду работает!! Да тут форум ПИСТРИТ одними и теми же проблемами, ибо САмо Железо DLINK По сути то ГАМНО!!!!! или прошивки или настройки не поднимаюца.... все надо методом перепрошивки или обновление решать!!! Больше не как не выяснить!!

Банальное сравнение Zyxel и Dlink, у Зикселя хотя бы реализованно все корректно, теже IPSECи поднимаюца слет Без какаих либо проблем и ошибок, даже по тому прицепу что делаю ВЕСЬ МИР!!! а тут же пипец какойта!! ЭТО НЕ НОРМАЛЬНО!! И ЭТО НЕ ТОЛЬКО У МЕНЯ!!!!!

если вы так печетесь о безопасности, то стоит попробовать что-то более надежное чем pptp.

Настройте L2TP и потестируйте, для 'мобильных' клиентов - такие как Skylink, grps и Yota у меня работало исправно.
(даже схема Yota router(Asus)+за ним DI-804 --> IPSEC --> HQ DFl-1600).

з.ы да и ваша ISA умела как и pptp так и другие продвинутые аля IPSEC site to site, l2tp etc., смысл был её менять, лучше бы деньги потратили на покупку ForeFront TMG коли у вас домен ..., Direct Access и прочии фишки > pptp,ipsec и прочие тунели..., они тихо курят в даннм случае.