Мдя... неочевидно все это Добавил в группу all_tcpudpicmp группу pptp-suite и поставил галочку в all_icmp получать ответы с ошибками. Все взлетело.

Но вылезло новое невиданное чудо. Туннель с клиентского ПК взлетает, но никуда доступа нет. Адрес клиент получает, днс тоже. Правила из туннеля в локалку и обратно все разрешают. Но ничего не доступно.

п пинги по IP проходят в локальную сеть ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Разве pptp_server не смотрит наружу с внешнего интерфейса?
Ко всему прочему работало же.

Смотрит. Но правила в данном случае относятся не к внешнему интерфейсу. Вот если бы было wan/all-nets -> core/all-nets all_services, тогда другое дело.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Я у себя добавил для этого два правила

Создал правило


не помогло

Все та же ошибка 619? Мне кажется, что дело в провайдере того, кто подключается, либо в PPPoE, на котором висит DFL. Сервер PPTP на DFL без всяких правил по умолчанию доступен. Проверьте порт TCP 1723 на каком-нибудь онлайн ресурсе (ping.eu, например). GRE, к сожалению, так не получится проверить. Еще могу посоветовать сниффером послушать внешний порт DFL, если есть возможность.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

да, ошибка 619
проверил порт, вот ответ - 87.253.14.249:1723 port is open
на счет снифера не уверен, попробую

Нашел в логах такую инфу, может она наведет кого на светлую мысль

Вот, что нужно было... unsupported lcp option 7 значит МРРС, которого DFL не поддерживает
Форсируйте его отключение на клиенте

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я, разумеется, добавил аналогичные правила. Только там не смб, а все сервисы

Делюсь еще одной интересной фигней. На стенде собрал схему простую как полено. Ноут-DFL260E-ноут. "Снаружи" подсеть 192.168.1.0/24, "внутри" - 192.168.10.0/24. PPTP вообще отказывалось подниматься, пока "внешнюю" сеть не сменил на 192.168.100.0/24 и тогда сразу все заработало... Шайтан... Буду дальше ковырять...

Версия:
Такие вещи могут быть из-за прописанных на компьютере маршрутов, т.е. вообще не связаны с DFL. Используйте в команд. строке routе print.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Все это очень странно, т.к. на стороне клиента 100% ничего не менялось, а VPN не поднимается.
Отключил LCP в свойствах VPN подключения на вкладке Сеть, кнопочка Параметры. Я правильно понял?
Это не исправило ситуацию, в логах по прежнему идет сообщение lcp_negotiation_stalled ppp_terminated.
Просканировал внешний ip своего DFL nmap, он говорит открытые порты 443 и 1723, все.

Все стандартное. Ничего не добавлено, не убрано. Все изменения коснулись только адреса с внешней стороны файрвола.

UPD: Проверил идею еще на одном файрволе, на DFL-210. Ситуация ровно та же - после смены подсети все взлетело тут же!

В общем выяснил, что если пытаюсь подлючиться по VPN
через ТТК, то все работает
через Домолинк, то не работает
сам DFL 800 находится в сети Домолинка
ничего не понимаю

Домолинк блокирует исходящий протокол из своей сети. Но не блокирует входящий.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)