Доброго времени суток.
Возник у меня один вопрос, то ли я что то недопонимаю в DFL, то ли это и правда на нём не такая простая задача, посему прошу помощи.
В эксплуатациии в нашей конторе имеется сей девайс, настроенный лично мной.
От провайдера на wan порт приходит пул белых адресов, первый адрес из пула прописан как адрес wan порта, на нём же поднят PPTP сервер принимающий соединения из инета настроеный на самом DFL, работает без проблемм, так же один IP из пула проброшен на почтовый сервер, находящийся во внутренней сетке при помощи ARP-публикации на wan интерфейсе и SAT Allow правил, аналогичным же образом проброшены белые IP к SQL серверу и другим сервисам во внутреннюю сетку, всё работает отлично. Но недавно встала задача, запустить плюс ко всему этому, L2TP сервер с IPsec на одном из свободных белых IP из имеющегося пула. IP я опубликовал на wan интерфейсе, создал L2TP сервер и IPsec фильтр, прописал правила как написано в доке по DFL... но подключиться с инета к нему не могу. Возможно для того что бы использовать IP из пула, опубликованный на wan интерфейсе в данном случае, нужно дополнительно прописать какие то правила, либо маршруты, но перерыв документацию по DFL я ничего не смог найти вразумительного на эту тему. Посему прошу помощи у многоуважаемого all, может кто то уже наступал на подобные грабли и подскажет что мне нужно сделать в этом случае.

Вероятно, у Вас на железке работает прошивка "для России", в которой L2TP не работает, как показывает практика.
Вам нужно обновить прошивку на "международную" с тайваньского сайта: http://tsd.dlink.com.tw/
Firmware: DFL-1660 A1 FW v2.40.04.08 (for WW)

Разумеется, бэкап конфига и системы никто не отменял

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Сейчас стоит именно эта, русскими прошивками я на DFL вообще никогда не пользовался.
Тут проблема в чём то другом, думаю что что то я всётаки недоделал.

Вероятно нужен PBR
viewtopic.php?t=65359&start=14

PBR настройте для пинга и l2tp. Если заработает пинг, то и l2tp, видимо, тоже.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

а часом не маршрут ли на CORE ? что то мне подсказывает что это в этом направлении надо смотреть .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да. Автор топика, покажите Status- Routes

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Маршрут с ip на core в таблице маршрутизации создал. Сейчас пингую этот ip с внешки (соответственно правило Allow для ping-inbound с wan порта с all-net, на этот ip интерфейса core создал).
Похоже мне всётаки каково то правила не хватает или пишу его для данного случая неправильно, пытаюсь подрубиться к L2TP в этот момент смотрю логи, в логах запросы по UDP порту 1701 приходят на wan и дропаются дефолтным правилом, создаю правило allow для UDP 1701 c all-net с порта wan на порт core этот ip, в результате в логах вижу ответ Rule - LocalUndelivered Event/Action - unhandled_local drop

В свое время тестировал IPsec на дополнительных адресах - никчему хорошему это не привело.
Решением было через управляемый свитч подать на DFL тот же WAN, но в VLAN - отдельным интерфейсом.
Тогда все работает.
Ну или просто через неуправляемый свитч, если вам интерфейсов не жалко.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Не претендуя на рабочее решение, в порядке бредовой идеи: если "пробросы" при тех же условиях у Вас работают, может быть аналогично SAT-нуть dst на основной wan_ip?

Прошу прощения за долгое молчание по топику. Давно это было...
Суть в том, что проблема тогда решилась, PPTP сервер был перенесён на дополнительный IP из пула, опубликованный на wan интерфейсе при помощи ARP-публикации, где заработал как и прежде, а вот L2TP сервер с IPsec, смог нормально запуститься только на IP присвоенном wan порту.