Добрый день
Настроил PPTP сервер на 1660, в связи с чем возникли вопросы - некоторые фичи не работают

1) Не работает интернет через НАТ (В чём проблема, правило НАТ есть)
2) Не работает родной интернет (Как отправлять на клиента только нужные роуты)
3) Пингуются, но недоступны терминальные сервера, которые терминируются не на 1660, а на DGS-3612 (линковые сети и роуты само собой есть)

сделайте правило
NAT pptp_server pptp_pool wan all-nets all-services


В настройках клиента отменить галку на основной маршрут


Это ХЗ. дело может быть в неполных IP правилах или файрволлах на серваках. проверьте командой
telnet IP-aдрес 3389

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

такое правило есть
Inet_for_VPN NAT PPTP_Serv TEST_PPTPAddress: 10.10.10.0/24 wan1 all-netsAddress: 0.0.0.0/0 all_services


дома обнаружились другие проблемы, пока глубже не копал, но картина следующая - с Win 7 не цепляется (другой инет провайдер), на работе тестирую через билайн 3G

Win7 не цепляется как? Если подключается, но нет трафика - это ждите, дайте 7ке подумать, после выбора типа сети (домашняя, рабочая) будет трафик

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В настройках клиента отменить галку на основной маршрут

Не нашёл такую галку в windows XP встроенном клиенте

Это ХЗ. дело может быть в неполных IP правилах или файрволлах на серваках. проверьте командой
telnet IP-aдрес 3389[/quote]

У меня используется другой порт, но суть не в этом, телнетом тоже не коннектится

На клиенте XP эта галка установлена?

Свойства соединения - Сеть - TCP/IP - Свойства - Дополнительно - Использовать основной шлюз в удаленной сети

её надо снять.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

спасибо, с этим разобрались, тогда с ещё большей остротой встаёт вопрос о том, каким образом можно запихнуть на клиента нужные роуты (ручками не айс вообще прописывать)

и ещё один вопрос - во всех факах описана опция MPPE RC4 128 bit, у меня максимальная 56 бит в чём трабл ?


Хотел попробовать L2tp IPSEC поднять, так винда даже законнектится не может, говорит про 792 ошибку (о том что истекло время согласования режима безопасности)

И опять возник вопрос - везде во всех факах фигурирует уровень medium, у меня есть только standart (IPSEC и IKE алгоритмы)

ставьте прошивку 2.27.03.25

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Почему не Firmware: DFL-1660 A1 FW v2.30.01.06 (for WW) ?
Интересно было бы услышать мнение длинка самого, но они здесь похоже не живут

тут было мнение компетентных людей, что 2.27.03 постабильнее. Хотя 2.30 ставить никто на запрещает.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

перепрошил на 2.27.03 действительно появилась возможность использования других алгоритмов шифрования (а ведь упоминания об этом в релизе не было)

ключевое значение в работе L2tp IPSEC в итоге оказалось в следующей строчке мануала - MPPE в none установить. Хотя в мануале написано что эта настройка может снижать производительность, в моём случае соединение вообще не поднималось.

В итоге нерешёнными остались задачи запихивания на клиента нужных роутов и непонятки с сетями, терминирующимися на 3612

получается такая схемка
dfl смотрит в сторону 3612 адресом 192.168.2.1, на 3612 висит адрес 192.168.2.100
также на 3612 висит 192.168.100.1

по впн раздаётся например адрес 10.10.10.3
если с 3612 я пингую с сурсом 2.100 этот адрес, то всё ОК, если с сурсом 100.1 то пинг не проходит, ну и с серверов с этой сети тоже естественно не проходит (а с впн юзеров эти адреса пингуются, но не могу зайти терминалом)
маршрут на 3612 существует
10.10.10.0 255.255.255.0 192.168.2.1 1 Static Primary None Active

никто ничего подсказать не может ?

кстати с вин 7 за натом через пппое l2tp работает, окромя вышеописанных проблем

2011-10-03
11:44:15 Warning RULE
6000051 Default_Rule TCP lan1
192.168.10.10
192.168.100.15 1401
5900 ruleset_drop_packet
drop
ipdatalen=28 tcphdrlen=28 syn=1

в логах вот что, где искать эти дефолтные правила ?


Техподдержка правильно указала мне на то что "что неразрешено, то запрещено". Разрешил подобный трафик, однако сама проблема от этого не стала яснее

Проблема решена. Техподдержка сказала мне что для адресов, терминирующихся не на самом DFL должно работать правило FwdFast. Однако у меня так ничего не заработало. Начал копать глубже, оказалось дело в маршрутах - у меня стояло core, поставил lan2 всё заработало. Правила кстати работают и с allow