Здравствуйте.
Вопрос по настройке DFL-800.

Настроен и работает доступ PPTP
согласно инструкции -
"Настройка PPTP сервера на DFL-210/800/1600/2500 для доступа удаленных пользователей."
http://www.dlink.ru/ru/faq/85/479.html

Настроен и работает IPSEC TUNNEL
согласно инструкции -
"Настройка IPSec тоннеля между межсетевыми экранами DFL-210/800/1600/2500 и маршрутизаторами DI-8ХХ"
http://www.dlink.ru/ru/faq/92/520.html

Какие правила необходимо прописать, чтобы клиент PPTP смог попасть к клиенту IPSEC TUNNEL?

Правила:

fromTUNNEL-to-PPtPclients Allow Tunnel IPSec_remote_net pptp_server pptp_ippool all_services

и

fromPPtPclients-to-TUNNEL Allow pptp_server pptp_ippool Tunnel IPSec_remote_net all_services

такого доступа не дают.

расшифруйте

_________________
если человек - идиот, то это надолго

>pptp_ippool

Название взято из примера настройки PPTP

"Шаг 5: Настройте IP address следующим образом.
Name: выбранное имя (в этом примере pptp_ippool)
IP Address: задайте диапазон IP-адресов Кликните по OK. "

то есть в моем случае - диапазон Ip адресов локальной сети (где собственно и находится dfl) (192.168.5.xx-192.168.5.xx)

>IPSec_remote_net

название из соответствующего примера, в моем случае удаленная подсеть IPSec_remote_net 192.168.4.0/24

Поразительная невозможность не то что поиском воспользоваться, а увидеть тему, созданную часом раньше - viewtopic.php?p=650551#650551

Либо NAT, либо маршруты, добавление подсети в параметры IPsec и соответствующие правила.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я бы не был так категоричен, тему видел и NAT пробовал, но правила:

fromTUNNEL-to-PPtPclients NAT Tunnel IPSec_remote_net pptp_server pptp_ippool all_services

и

fromPPtPclients-to-TUNNEL NAT pptp_server pptp_ippool Tunnel IPSec_remote_net all_services

ничего не дали.

С NAT вы будете иметь маскировку, поэтому трафик пойдет только в направлении РРТР>IPsec. Если надо двусторонний доступ, то только Allow правила, добавление РРТР пула в параметры IPsec и маршрут на удаленном DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В соседней ветке вы пишите:

"1) В случае отличия РРТР пула от lannet, добавить сеть РРТР в параметры IPsec с "вашей" стороны"

В моем случае PPTP ip pool совпадает с lannet (192.168.5.xx), следовательно - "добавление РРТР пула в параметры IPsec" не требуется?

"2) Прописать маршрут и при необходимости правила на удаленном устройстве для вашего РРТР пула"

т.е. добавить на di-808 в route 192.168.5.0?

открывать на di-808 firewall? для какой сети? lannet сейчас ходит без проблем.

Если у вас РРТР пул включен в lannet, то достаточно Allow-правил в обе стороны - в/из IPsec.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Тогда возвращаюсь в своему первому сообщению, указанные в нем правила ИЗ/В не работают, пинги с PPTP клиента в IPSEC TUNNEL не идут. Из lannet (5.x) пинги в IPSEC TUNNEL (4.x) идут без проблем. Что еще надо сделать?

У вас для ARP proxy в параметрах РРТР сервера один LAN разрешен или все интерфейсы?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Включен "Always select ALL interfaces, including new ones."

Может, не туда правила ставлю? хотя пробовал и в начало и в конец, сами правила тоже вроде бы как правильно написаны..

Попробуйте "проверить боем". Запустите с клиента ping -t в удаленную сеть и смотрите в Status > Connections, куда идет коннект. Также проверьте и на доступность из туннеля к удаленным клиентам.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Результаты "проверки боем":

Пингую из pptp в туннель - время от времени появляется это:

FIN_RCVD TCP pptp_server:192.168.5.41:1138 lan:192.168.5.111:445 5
UDP UDP pptp_server:192.168.5.41:1050 lan:192.168.5.111:53 127

с PING нет ни одной записи, но как только стал пинговать вместо туннеля (4.х) локальную (5.x) - пошли:

UDP UDP pptp_server:192.168.5.41:123 lan:192.168.5.111:123 118
PING ICMP pptp_server:192.168.5.41:1024 lan:192.168.5.111:1024 8

и все замечательно работает.

Пингую клиента из туннеля:

PING ICMP Tunnel:192.168.4.128:512 pptp_server:192.168.5.41:512 3

но при этом пинги не проходят.

Эта информация может чем-то помочь определить проблему?

Routing Table Contents

Flags Network Interface Gateway Local IP Metric
DA-------192.168.5.41--pptp_server----------------------------------0

----------192.168.4.0/24---Tunnel-------------------------------------90

У вас приведены коннекты в LAN

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc