Добрый день.

У меня следующая проблема: на DFL-1600 работает L2TP+IPsec сервер, висящий на wan1_ip.

wan1net: X.X.X.0/28
wan1_ip: X.X.X.3
wan1_gw X.X.X.1

Аналогичным образом я настроил на нем второй L2TP-сервер (для доступа в dmz), и повесил его на wan_public_ip (X.X.X.4), но ничего не работает.

l2tp_out_ip_wan 192.168.20.1
l2tp_out_range_wan 192.168.20.10-192.168.20.99
l2tpnet_out 192.168.20.0/24

В общем вопрос в том, какие нужны дополнительные правила в случае, если l2tp-сервер висит не на wan1_ip, а на каком-то другом.
Может надо сделать перенаправление портов с wan_public_ip на l2tp_out_ip_wan ?

Полагаю, надо настроить PBR

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Нашел статью в FAQ-е - http://www.dlink.ee/ru/faq/85/576.html

"При помощи PBR можно заставить работать функцию проброса портов, если он используется на резервном канале. Для этого надо создать правило, которое укажет устройству, что на весь входящий трафик к резервному интерфейсу, необходимо использовать альтернативную таблицу маршрутизации"

Это понятно, когда есть 2 разных ISP, и используется 2 физических интерфейса для подключения к ним. А если один, то каким образом прописывать второй интерфейc и создавать альтернативную таблицу маршрутизации?

второй l2tp или pptp сервер на том же интерфесе работать не будет, надо использовать другой полноценный порт т.е wan2 , dmz ит.п

1. зачем вам вообще 2-й l2tp сервер?

2. У вас серверы на одном интерфейсе, но на разных адресах этого интерфейса или как?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

первый - для сотрудников с доступом в сеть, второй - для аутсорсеров с доступом только в dmz.
Да, на одном интерфейсе - wan1, с разными адресами - x.x.x.3 и x.x.x.4.

а чем IPRules не подходит для этой задачи?

так работать не будет, разные внешние IP на одном интерфесе подойдут только для публикаций (sat+nat), если нужен второй vpn сервер. нужен второй полноценный интерфейс.

А каким образом через IPRules управлять L2TP-пользователями? Т.е. одним разрешить доступ в lannet, а другим в dmznet ?

назначаете аутсорсерам статичные ip-адреса при подключение по vpn (менюшка Static Client IP Address внутри их аккаунта на dfl), дальше работаете с IPrules.
(если у вас наоборот аутсорсеров большинство , а сотрудников с впн по пальцам пересчитать, идете от обратного, т.е сотрудникам статику и ит.д).

p/s у себя я делал так: брал из конца впн пула 10-15 адресов , их резервировал под аутсорс., дальше в обычном правиле для сотрудников с впн делал Iprules:
допустим пул 172.16.1.0-254 , брал 172.16.1.2-230 и для этого диапозона разрешал трафик в LAN, а с 231 до 254 в дмз или куда надо, дальше аутсорсерам принудительно ставил статичкие ip с 230 до 254.
(а вообще у меня для всех юзеров были статик айпи , чтобы по логам можно было смотреть кто куда и чего потом).

Спасибо за идею! Работает.

Чисто L2TP сервер равно как и РРТР работает на дополнительных адресах
А вот IPsec ни в каком виде с дополнительных адресов работать не будет

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc