А что вы скажете по поводу GRE через сам DFL-210?

Выяснилось, что не удается запустить PPTP сквозь DFL-210. То есть из локалки за этим роутером через какой-то инет к такому же 210 роутеру подключиться не получается с ошибкой 619. Долго-долго пытается проверять имя и пароль и все. Напрямую (без этого роутера) все работает. К обоим железкам практически откуда угодно подключаемся нормально, а вот из-за них - фига с маслом. Конфигурация практически стандартая - прописаны свои адреса, добавлен PPTP-сервер и все...

UPD: Гугелю спасибо. Оказывается, надо правило переточить для стандартного прохода наружу. Вместо all_tcpudp в сервисе надо прописать all_services, потому что этот проклятый GRE нифига в первый комплект не входит, сволочь.... В одну сторону заработало, во вторую попозже проверю.

Большая просьба к модераторам добавить эту информацию в FAQ!

Уважаемый Python, вы задели очень тонкую тему оснований, базовых настроек DFL. Хотелось бы услышать по этому поводу корифеев форума и представителей D-Link.
Если посмотреть в Objects | Services, то увидим различия между all_tcpudp и all_services, это all_icmp. С другой стороны, если попытаться добавить новый сервис, то мы увидим, кроме icmp, tcp и udp, еще и IPProto, который образует сервисы gre-encap, l2tp-encap, ipsec-esp и ipsec-ah. Отсюда формальный вывод, либо IPProto входит в группу all_icmp, либо all_services - это далеко не все сервисы. И еще один повод для грусти, если вам легко добавить all_services в список правил, то админ-параноик не может себе позволить этого.

поддерживаю !
я например сам создаю сервисы и потом использую ...

Хочеш что бы все работало - сделай сам .(с) не я

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Для того, чтобы пробросить PPTP, есть сервис pptp-suite.

Все вполне себе нормально.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ага... Буду пробовать со стандартными All_tcpudp плюс pptp-suite поднять туннель. По результатам - отпишусь.

Начиная с 2.25 (кажется) all_services стало не группой из all_tcpudp+all_icmp, а полноценным мультипротоколом IP (0-255)
Как вы можете знать, GRE - это протокол, а не сервис поверх TCP/UDP, соответственно ему надо отдельно разрешение, ну или новый all_services

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Немного не в тему вопрос, но тоже про заморочки с сервисами. Почему при наличии правила с сервисом all_tcpudpicmp или all_services трассировка не идет никуда, надо обязательно ping-outbound?

Неправда ваша. Прекрасно все трассируется. У меня all_services (не группа, а именно сервис IP Proto).

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Важна галка Pass returned ICMP error messages from destination
Она стоит по умолчанию в ping-outbound, но можно и с all_services поставить

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Добрый день!
Аналогичная проблема появилась на DFL-800, прошивка 2.27.00.15-14098 May 25 2010.
Vpn подключения работали и вдруг перестали.
Настройки делались по мануалу http://www.dlink.ru/ru/faq/85/479.html
Настройки, касающиеся PPTP сервера не менялись, пытаюсь подключаться с WInXP.
При попытке установить VPN соедниение после "Проверка имени пользователя и пароля..." выходит сообщение об ошибке "619: Не удается подключиться к удаленному компьютеру, поэтому порт подключения закрыт."
Заметил, что если указать в VPN подключении не правильный логин или пароль, то ошибка не изменяется (619). Т.е., как я понимаю, до авторизации дело не доходит.
Лог D-Link

Кто может что-нибудь посоветовать?

Интересны строки логов между conn_open и conn_close в разрезе одного подключения

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Подскажите как это сделать, я не понял.

Поднял внутри сети VPN сервер на Windows 2003. VPN подключение поднимается с компьютера из внутренней сети. Если подключаться из внешней сети к этому VPN серверу, то ошибка точно такая же (619). На DFL 800 создал правило Allow pppoe all-nets lan Serv(VPN) pptp-suite

Вообще, я везде. где требуется полный доступ, использую сервис IP-Proto 0-255 c включенной галкой Pass returned ICMP error messages from destination.

Это разрешает как PPTP, так и трассировку виндозовскую и юниксовскую.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вы имете ввиду all_services?
Сделал, галочку выставил, но это ничего не дало.


При том, что не работет VPN соединение, ipsec туннель между DFL-800 и Dir-330 работате без нареканий. Там кстати в правиле указан all_services.

v1kt0r, а ничего и не изменится. В меняете правило для трафика внутри туннеля. А у вас проблемы с установлением самого туннеля.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)