Здравствуйте. Пожалуйста помогите. всю голову уже сломал...
Сейчас все опишу по порядку. Вот схема сети:


На DFL поднят L2TP сервер, к нему через интернет подключен клиент (Win2003 server), который получил IP адрес 192.168.2.10
Нужно чтобы Комп А видел (пинговал) Комп Б и обратно. На данный момент этого не получилось достичь.

В данный момент ситуация следующая:
С Комп А пингуются оба интерфейса (физический-192.168.0.100 и VPN-192.168.2.10) компьютера Win2003
С компьютера Win2003 пингуются: IP lan интерфейса DFL (192.168.1.150), Комп А (192.168.1.200) и VPN интерфейс DFL-192.168.2.9
НО не идут пинги с компьютера А до компьютера Б и обратно.
Получается что из подсети 192.168.1.0 получается пропинговать только 192.168.0.100 (физ. интерфейс VPN клиента)

Почему я считаю что дело не в ИП правилах а именно в маршрутизации:
с Комп Б пытаюсь пропинговать lan интерфейс DFL (192.168.1.150) - пинги не проходят и вот что вижу в логах дфл:

То есть получается что правило срабатывает ( и DFL "видит" пришедшие icmp пакеты, но в ответ ничего не отправляет)
Видимо что то не так с маршрутизацией... вот только где? На стороне Win2003 или на стороне DFL?
Скорее всего на стороне DFL - потому что пакеты до неё судя по записям в логах доходят а вот обратно нет..
Уже написал маршрут, но и с ним и без него пинги не ходят


Подскажите пожалуйста в чем еще может быть ошибка?
Если нужна доп. информация спрашивайте

на DFL в свойствах vpn укажите сеть за клиентом которая ваща с компом Б. Ну и следовательно, на вашей винде так же укажите какая сеть за туннелем , дальше проверяйте трассу , и смотрите соединения на DFL.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Подскажите, Вы это поле имели ввиду? там указана удаленная сеть, которая находится за VPN

да это оно .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Указал сеть в свойствах VPN как показано на скриншоте выше.. Правильно?
Пытаюсь пинговать с компа Б комп А... вот что в логах:

Подскажите это он на ИП правила ругается или всетаки на маршрутизацию?

Вот что нашел:
Трафик отбрасывается правилом Default_Access_Rule. Это означает, что маршрутизация сети источника не настроена на lan-интерфейс.
Настройте правила и права доступа таким образом, чтобы разрешить сеть xxx.xxx.x.x/24. Тогда система сможет воспринимать эту сеть как отправителя сообщений и не будет отбрасывать сообщения из нее

Не могу понять как "маршрутизация сети источника не настроена на lan-интерфейс"... какая сеть - источник применительно к моей ситуации имеется ввиду?

напишите правило ,
allow any/all-nets any/all-nets ping-outbound
и на самый верх его в корень , и проверяйте пингами ... если пройдет , то модернизируйте под свои нужды с нужными интерфейсами

а также на компьютере Б отключите все фаерволы и бренд мауэры , винда может посчитать что ломятся из внешней сети и отсекать такие запросы .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Сделал как Вы советуете: Правило в самом верху списка..

Но все равно пинги не идут... вот что в логах:


Нашел в документации про "Обратный поиск маршрута"... может дело в нем?

конечно . я же писал что там еще ваш VPN клиента надо настраивать , на чем у вас там он построен только вам известно

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

VPN клиент это системный блок с ОС win2003.. там сретствами операционной системы поднято VPN соединение
из самой Win2003 пингуются и lan адрес ДФЛ и компы за ДФЛ...
Если в логах ДФЛ регистрируются попытки пинга, значит пакеты все таки приходят по VPN и уже на ДФЛ срабатывает правило Default_Access_Rule и дропает их..
Вот понять бы почему это происходит?

потому что нет вашего правила на 2003 винде , пишите там маршрутизацию .
дальше уже на форум к винде , как и что там писать .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

по вашей схеме видно, что у вас разные сети lan и vpn. поэтому клиент не получает нужный маршрут. сделайте выделение диапазона для vpn из lan. это самый простой путь. хотя есть и другой - сложнее.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

мне кажется проще написать маршрут на винде
типа что то
route add 192.168.1.0 mask 255.255.255.0 if <номер интерфейса VPN юзера>

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо всем за подсказки... все получилось. Затык был в следующем:
в общем я хотел чтобы ВПН клиенту при подключении выдавался всегда один и тот же адрес.. я его указал в свойствах когда создавал пользователя ВПН... а ниже было поле где нужно было указать сеть за пользователем. Наверное из за этого ДФЛ и не знала как смаршрутизировать трафик. В общем указал я эту сеть, и все заработало!
Спасибо всем за советы... без них все могло бы затянуться на гораздо большее время.

Из ха них могдо окозотся слвсем плохо .
А изза не достатка знаний вооьще может незарадотать.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку