обновил прошивку до 1.32.00 .
теперь при создании впн появились пункты IPsec Tunnels
L2TP / PPTP Client
L2TP / PPTP Server
дмз и локалка работают через нат (192.168.4.0 и 192.168.5.0). завел запись IPsec Tunnels 192.168.0.0/16 !!! PSK - Pre-Shared Key !!!Roaming Users - single-host IPsec clients
соответственно из дома после настройки ипсек могу заходить в 2 подсети (дмз и локалка). При попытке создать ещё одно правило с Pre-Shared Key (для ещё одного юзара) получаю сообщение с рекомендацией воспользоваться сертификатами.
В ипсек можно только 1 правило завести?[/img]

у меня у одного так? Или я чего то недопонял?

Все правильно. Для подобных задач есть PPtP сервер в DFL-700.

понял спасибо.
Тогда у меня ещё один вопрос имеется. Создал PPTP сервер. Диапозон айпи для клиентов 192.168.5.50-60. В фаерволе стоит галочка на правиле VPN: Allow all VPN traffic: internal->VPN, VPN->internal and VPN->VPN.
Для прохождения пакетов от PPTP клиентов в мою внутреннюю подсеть в routing создал правило LAN 0.0.0.0/0 192.168.5.6 Proxy ARP YES
Клиент из интернета соединяется ему присваивается ай пи. далее пытаюсь пингануть машину в моей внутренней сети (у неё 2 интерфейса 192.168.3.151(адрес внутренней подсети) и 192.168.5.6 (адрес к dfl700)и она является шлюзом в инет для всех подсетей моей сети). 192.168.5.6 пингуется . Всё остальное нет. В логах фаера появляются записи -
[2005-07-08 18:57:56] <6>EFW: CONN: prio=1 rule=FromVPN conn=open connipproto=ICMP connrecvif=use connsrcip=192.168.5.50 connsrcid=2048 conndestif=LAN conndestip=192.168.5.6 conndestid=2048 пинг на внешний ок

[2005-07-08 18:58:06] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=use srcip=192.168.5.50 destip=192.168.3.151 ipproto=ICMP ipdatalen=40 icmptype=ECHO_REQUEST echoid=2048 echoseq=7680 облом.
[2005-07-08 18:57:59] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=LAN srcip=192.168.3.151 destip=192.168.5.50 ipproto=UDP ipdatalen=58 srcport=137 destport=137 udptotlen=58
и что это за правило rule=dropall-final action=drop . Я посмотрел нет такого??? Где это правило записанно?
Идиалогия фаервола какая - всё что явно не разрешено, то запрещёно?

При создании PPTP-сервера не нужно дополнительно прописывать никаких маршрутов и прочего. Все создается автоматически. А правило, о котором вы спрашиваете, это самое нижнее правило в любой полиси, настолько нижнее, что его не видно, и делает оно только одно -- отбрасывает все, что до него доходит.

_________________
С уважением -- Александр Шебаронин.

rule=dropall-final action=drop

Неплохо бы об этом написать в документации, я вот вчера тоже всю голову себе сломал, откуда оно берется...
Или сделать обновление Firmware, в котором бы оно показывалось сереньким цветом снизу, как текст.

Совершенно логично предположить, что у любого списка правил есть действие по умолчанию -- для тех пакетов, которые не подпадают под все вышесконфигурированные правила. В большинстве случаев это действие -- отбросить. Если нужно чтобы было не так -- создайте правило, разрешающее прохождение всего и вся.

_________________
С уважением -- Александр Шебаронин.

внутренний днс пересылает запросы на провайдера .
Создал правило ван лан \лан ван
lan -wan
#1 zoro_dns Allow Any 195.34.32.116 dns-all
wan -lan
#1 dns_zoro_in Allow 195.34.32.116 192.168.1.2 dns-all
в логах
2005-07-11 10:39:10] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=LAN srcip=192.168.1.2 destip=195.34.32.116 ipproto=UDP ipdatalen=51 srcport=1142 destport=53 udptotlen=51

[2005-07-11 10:45:41] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=LAN srcip=192.168.1.2 destip=195.34.32.116 ipproto=UDP ipdatalen=36 srcport=1142 destport=53 udptotlen=36

пинги и фтп отдыхают. имена не резолвяться. Что я сделал не так?
в логах (откуда)srcip=192.168.1.2 (куда)destip=195.34.32.116
правило создал. от 192.168.1.2 на 195.34.32.116 всё можно. Почему тогда дропаются пакеты?

и второй вопрос. я так понял что поддерживается динамическое открытие портов. т.е если приложение из сети послало запрос, то мне не надо открывать в правилах порт для ответа ?
раньше использовал пакетный фильтр в WinRoute Pro 4* -

опять пришлось на шлюзовой машине нат поднять. теперь и пинги пошли. только это помоему не вариант. сетку за 2-мя натами держать.
алё алё модераторы - объясните почему из другой подсети днс запросы не проходят ... плииииз

разобрался.
в маршрутах на локальном интерфейсе прописал все подсети. заработало

Отлично! Спасибо что рассказали о решении проблемы. И извините что не успели помочь

_________________
С уважением -- Александр Шебаронин.

У меня такая же проблема.
создал pptp-сервер. и ничего более (никаких доп правил и маршрутизации)
соединяюсь клиентом Wind2000 пишет что соединение установлено, но пинги не идут
из этой темы я понял что надо где-то что-то прописать. но не очень понял где и что
клиенту выдается ip 192.168.0.252 в главное сети такого ip нет.
при этом при подключении пришется, что клиентов vpn нет. (смотрю в статусе устройстве)
адрес внутренний ip dfl-700 192.168.0.2

не подскажете как решается данная проблема?

У меня 3 подсети висящих на длинк des3326.
192.168.1.0 192.168.2.0 192.168.3.0
в подсети 192.168.3.0 стоит рутовый комп с прокси.
Один интерфейс (192.168.3.151) подключён к des3326 в подсеть 192.168.3.0
Второй интерфейc (192.168.5.6) подключён к dfl 700 (lan 192.168.5.1)
Для того что бы клиенты pptp могли пройти во внутреннюю сеть(192.168.1.0 192.168.2.0 192.168.3.0 ) на lan интерфейсе я прописал доп. маршруты вида
Interface LAN
Network 192.168.1.0
Msk 255.255.255.0
Gateway 192.168.5.6


Interface LAN
Network 192.168.3.0
Msk 255.255.255.0
Gateway 192.168.5.6

Proxy ARP – вот тут не знаю надо ли её ставить? Специалисты надо али нет?
Я не ставил.
Теперь PPTP клиенты могут шарит в подсети 192.168.5.0 и 192.168.3.0
Для того что бы они могли проходить в подсети 192.168.1.0 и 192.168.2.0 надо настроить маршруты на des 3326. Хотя на нём прописан маршрут по умолчанию
0. 0. 0. 0 0. 0. 0. 0 192.168. 3.151 1 Primary
что то не работает. Может специалисты мысль подкинут?
Locke83 – в firewall - policy - Global policy parameters у тебя галка стоит на
VPN: Allow all VPN traffic: internal->VPN, VPN->internal and VPN->VPN.
Если нет то все пинги блокируются правилами. Если стоит то правила к впн соединениям не применяются(как я понял).

Галочка "разрешить весь vpn траффик" стоит.

to Skiper

Давай разберемся
пусть есть главная сеть с ip
192.168.0.0 192.168.0.255
пусть есть удаленная сеть с ip
192.168.1.0 - 192.168.1.255
кстати если в главной есть свободные ip например 192,168,0,200 -210
то можно ли их использовать в уделенной сети? или подсети должны быть разными.

В главной сети есть маршрутизатор DFL700. В нем поднимаем pptp сервер. Есть внутренний ip - 192.168.0.1 и внешний 80.80.80.80

в удаленной сети подключаемся pptp клиентом (у меня wind200 + KerioWinRoute в нем разрешен весь pptp траффик, ну да это не принципально). пусть у маршрутизатора в удаленной сети ip 192.168.1.1
Так теперь вопрос
какие правила маршрутизации прописываем на сервере, а какие на клиенте?

Да и маленькое уточнение.
NAT должен быть на маршрутизаторе клиента или нет? или может быть, а может не быть взависимости от настроек?