Спасибо за ответ. Это свежая для меня информация.
А на практике это значит, что надо писать два правила: туда и обратно ?
Буду признателен, если дадите ссылку на хороший справочник по маршрутизации DFL.
А то приходится учиться только по инструкциям, выложенные поддержкой D-Link (спасибо им большое за это).
А если ее нет (как в этом случае), то пытаясь разобраться иду на ощупь.

при маршрутизируемой сети .
но я дико сомневаюсь что ваш модем знает на LAN интерфейсе кто у него шлюз и тем более о существовании других сетях которые лежат за шлюзом.

поэтому, только в его сторону- NAT ить .


Мы все шли на ощупь , да еще и в темной комнате с завязанными глазами .
пока вы не помете теорию маршрутизаций , то вам ни какой мануал не поможет .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Какую сеть Вы имеете ввиду WAN за Роутером, LAN за Роутером или LAN за DFL ? А потом будете писать, что надоело разжевывать ?
В прошлой моей теме Вы помогли, но почему в этой Вы так себя ведете? Извините, если чем обидел.


Об этом речи в этой теме никогда не шло. Зачем об этом говорить?


В чью сторону ? Модема, Роутера, DFL ?


Опять лирика. Я только лишь сообщил, что у меня не хватает источников информации.


Странный подход. Прошу подсказать где почитать, а получаю опять лирику. Давайте ценить время тех, кто будет вынужден это читать

У вас же проскользнула верна мысль по поводу того, что говорит Владимир:
L2TTP-IPsec_Client 192.168.21.0/0 NAT wan 192.168.10.0/0 All_services.
Allow тут неприменим, потому что не дает пакету информацию об обратном маршруте. Поэтому Ваше правило с Allow и не работало.

Но я бы вместо All_services поставил all_tcpudpicmp

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Респект. Две строчки и все понятно.

Появился вопрос: А почему в этом случае Allow работает (когда идем из сети Клиента к сети Сервера) ?:
lan 192.168.10.0/0 Allow L2TTP-IPsec_Client 192.168.21.0/0 All_services


Это для безопасности ? Боялся, что-нибудь отключить - поэтому взял все.

Протестирую вечером, когда приеду на дачу, и обязательно удачное решение вынесу в шапку

давайте проведем лирику . и постараюсь на пальцах рассказать.

разберем первую ситуацию . клиент из сети 21 посылает запрос в сеть 10 .
надеюсь кто такая маска рассказывать - не надо ? так вот . DFL увидев этот пакет отправляет этот пакет в туннель ко второму DFL, тот в свою очередь смотрит что эта сеть лежит у него за WAN и отсылает пакет туда . Мы дошли - теперь надо вернутся .

Ваш роутер в сети 10 . к которому в порт LAN подключён DFL, должен отправить ответ куда ? правильно в 21 подсеть , выже правила Allow поставили ? все верно - должно уйти . Но вы же помните кто такая маска ? оба на, а шлюза нет .... пакет скоропостижно скончался по тайм ауту . БЯДА.....

вторая ситуация ,

вы посылаете пакет из 21 сети в 10-ю . Ваш DFL видит что эта сеть лежит за туннелем . и пихает туда этот пакет . Второй DFL, видит что сеть лежит за WAN . но тут на пути стоит NAT , и в пакете и в пакете адрес источника , подменяет на адрес WAN и пихает его туда , открыв сессию NAT

Ваш роутер , видит что пакет приперся от адреса в той же сети что и ваш роутер - куда его отправит ? Ведь вы помните кто такая маска ? и что на LAN вашего роутера нет шлюза , правильно на IP WAN DFL. . DFL увидит что есть открытая сессия для данного трафика , и поймет что там был нат , опять подменит адрес назначения на тот который нужен , те из 21 сети , и пакет благополучно вернется в вашу 21 сеть принеся ответ от вашего роутера в 10й подсети .

теперь надеюсь понятно ? что вам надо НАТИТЬ туда . а не пробрасывать туда пакеты ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Потому что этот маршрут автоматически создается при подключении тоннеля.

А когда Вы разворачиваете пакет из внутренних подсетей наружу через WAN в сторону роутера (подсеть 10), то такого маршрута нет.
Или его надо ручками прописывать, или использовать NAT. А скорее всего и то и другое надо будет делать.

В принципе это только что описал Владимир, только более красочно

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

ну это на тему :
пакету надо знать не только как достичь цели , но и как вернутся.
да и механизм NAT надо бы понимать , как он работает , и как его преодолевать , и как можно.

это так сказать начало знаний . когда они у вас в голову положатся - то тогда и придет просветление.

зы существуют случаи когда пакет может вернутся совсем другим маршрутом , описав пол мира

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Очень доходчиво. Спасибо, что дали возможность осознать на новом для меня уровне.
Теперь проведу ревизию всех "своих" правил на предмет замены Allow на NAT (которые делал по инструкции не в счет).

А я голову сломал почему так произошло:
Дома и у Родителей настроил два года назад IPsec-туннель между двумя DFL, каждый из которых имел выделенный IP. Доступ в каждую подсеть был сделан на правилах Allow. Все вроде работало: фотки синхронизировались между двумя компами.
А в этом году свой DFL перевез на дачу и подключил через Роутер+Модем через 4G. Выделенного IP конечно не было и я стал настраивать его как VPN-клиент для DFL VPN-сервера родителей.
Вначале не получилось настроить двухсторонний доступ и я вернул свой DFL домой.
Залил обратно сохраненные ранее настройки для работы через VPN-туннель и удивился: с сети DFL родителей сеть моего DFL перестала быть доступной. Потратил несколько вечеров на поиск решения. Методом научного тыка в итоге нашел: На моем DFL в одном правиле доступа из VPN-туннеля на мой LAN заменил Allow на NAT. В итоге проблема была решена.
Но остался большой вопрос: ПОЧЕМУ ALLOW РАБОТАЛО В ТЕЧЕНИИ ТРЕХ ЛЕТ ?
Мой DFL ведь за это время не один раз перезагружался. И как это заработало в самом начале, Когда первый раз поднимал туннель ?
Причем на моем прошивка 2.40, а на родительском 2.60 и замена Allow на NAT нужна только на моем. Почему только на моем, ведь на родительском осталось Allow для доступа из VPN-туннеля на LAN ?

на все эти вопросы предстоит ответить вам . когда разберетесь что и где и как .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

хороший ответ

а вы хотите что бы по вашему скудному описанию вашей сети смог составить представление и расказать что у вас и где было ?!

ну не смешите , или вы реально думаете что я маг и волшебник ? или у меня есть дар ясновиденья что бы увидеть вашу конфигурацию , с настройками двух DFL ?!

а я кстати знаю, когда у вас заработало \

вы подключались к одному из DFL , а пытались смотреть сеть за другим DFL ? да тут NAT но можно и Allow .
Вот вам домашнее задание - разобраться почему

и я не однократно упоминал . что это проблема существует
один способ ее решения есть в факах на FTP , второй я описываю раз в квартал .
моим способом - раз и навсегда не зависимо от масштабируемости сети .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да, это правило решило проблему:
L2TTP-IPsec_Client 192.168.21.0/0 NAT wan 192.168.10.0/0 All_services
Выношу в топик

Вот и славно.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Смысл в ограничении количества протоколов - чтобы не гонять заведомо ненужный в вашем случае трафик.

All_services = 256 протоколов
all_tcpudpicmp = протоколы номер 1, 6, 17 из вышеуказанного стандартизованного списка (ICMP, TCP, UDP соответственно).

Ферштейн?

А теперь немного лирики от меня в Ваш адрес:
С Вашим пытливым умом Вы до Гугла и сами могли бы добраться.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...