Всем добрый день! В организации используется DFL-1600. Есть задача поднять на нём L2TP over IPsec VPN-туннель на WAN2 с разграничением доступа пользователям к разным внутренним подсетям. Должен использоваться стандартный виндовый VPN-клиент с авторизацией по смарт-картам (самый трудный момент для меня).
Подскажите, пожалуйста,:
1) Как разграничить доступ пользователям на основе сертификатов?
2) Как всё корректно завести VPN-сервер на WAN2, чтобы при этом использовался WAN1 для доступа в инет из внутренней сети? Использовать PBR? Ещё проблема в том, что WAN2 тупо нет в таблице маршрутизации и он, соответственно, не пингуется (правила разрешают пинг). Надо добавлять его в таблицу? Просто из-за этого отваливается один сервер, доступ к которому через WAN1, я ещё не понял почему.
3) Пока пытаюсь завести VPN-сервер на WAN1. Успешно дошёл до момента авторизации по самоподписанным сертификатам (а не PSK). Т.е. IPsec авторизуется по сертификатам, а L2TP по логинам/паролям из LocalDB. Теперь же надо сделать, чтобы логины и пароли вообще не использовались, а использовались только смарт-карты. Как я понял, DFL-1600 такой функционал не поддерживает из коробки. Есть какие-нибудь решения? Может можно использовать RADIUS-сервер для авторизации L2TP?
4) Почему-то после подключения к VPN-серверу у клиента не разрешаются нормально имена внутренних ресурсов. Nslookup всё разрешает, но когда я делаю ping или пытаюсь зайти на сайт, то пишет, что не может найти хост. VPN-подключение не является шлюзом по умолчанию для клиентов. Маршруты во внутреннюю сеть у меня прописаны со стороны клиента корректно. Скорее всего это проблема винды и решается она путём смены приоритетов подключений в Network -> Advanced. Но может есть ещё какие решения?

С смарт-картами дел не имел, но если с точки зрения сервера это такой же RSA ключ, то у вас должен получиться L2TP over IPsec.
1) На основе сертификатов разграничить доступ не получится, только привязывайте статический IP к логину клиента и оперируйте им.
2) Как многократно писалось, сделайте альтернативную таблицу и PBR для входящих
Routing > Routing tables > alt_wan2
wan2 all-nets wan2_gw 100
Routing > Routing rules
wan2/all-nets any/all-nets, forward main, return alt_wan2
3) Нельзя, см.п.1
RADIUS или AD вместо LocalUserDB использовать можно
4) По умолчанию, сетевые имена ищутся при помощи широковещаний, которые через DFL не проходят.
Настройте и используйте WINS

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

За 1 и 2 пункты спасибо.
3) По поводу RADIUS-сервера я имел в виду можно ли на нём сделать авторизацию по сертификатам с использованием EAP-TLS, чтобы L2TP-сервер на DFL-1600 корректно отрабатывал данную авторизацию?
4) WINS тоже настроен. Самое забавное, что если подождать минут 20, тщетно пытаясь зайти на какой-нибудь ресурс, потом всё начинает работать.

3) Нет, никаких ветвей между сертификатами и РРР авторизацией я не видел и так понимаю, что их нет. Попробуйте посмотреть в сторону XAuth, но я не уверен. L2TP (тот что будет over IPsec) вполне решит вашу проблему.
4) Если сеть себя так ведет, надо разбираться. В случае адекватно нового ПО, попробуйте nslookup. Смотрите как именно не определяет, в конце концов снимите попытку в wireshark/pcapdump.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А как поможет XAuth? Как я понял, L2TP идёт поверх IPsec, а PPP поверх L2TP. IPsec успешно авторизуется по сертификатам, L2TP, вроде как не требует авторизации. А вот PPP требует, и я ищу способ, как сделать это через сертификаты, а не через логин и пароль.