2 DFL-210 связаны по IPSec. Пользователи, подключенный к любому DFL-210 по локалке имеют доступ к ресурсам локалки другого DFL-210. Тут все ОК.
На одном из DFL-210(ЛВС 0) настроен PPTP-сервер.
Хотелось бы, чтобы подключенный PPTP-клиент имел доступ к ресурсам сети второго DFL-210 (ЛВС10), конкретно к терминальным серверам (если возможно так ограничить).
Вот так это выглядит


Я догадываюсь, что скорее всего надо прописать маршрут... Но не знаю, что и где прописывать. Только начинаю познавать )))

Надо создать IP правило вида
allow pptp-interface pptp-pool ipsec-interface lan_10 all-services

вместо lan_10 можно указать только группу из адресов rdp серверов

а на PPTP клиентском компе создать маршрут до 10 сети через ppp шлюз

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Если адрес DFL'ки с PPTP-сервером = 192.168.0.1 то:

На компе в командной строке прописываем:
route add -p 192.168.10.0 mask 255.255.255.0 192.168.0.1

Да, и не забудьте про разрешающие правила (туда и обратно) общения PPTP-клиентов, находящихся за PPTP-интерфейсом с удаленной локалкой 192.168.10.0/24 за IPSec-интерфейсом.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Уточню.

В качестве шлюза надо указывать не адрес DFL (192.168.0.1), а адрес, получаемый PPTP клиентом (192.168.0.X). Т.к. это PPP соединение.

Если интересует исключительно доступ PPTP клиентов к rdp серверам, то хватит одного указанного мной правила.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо.
Возможно ли обойтись без прописывания чего-либо у пользователя? Так спокойнее, не надо объяснять, опять-таки адрес каждый раз разный!

UPD : не работает этот метод ((( Ни с в варианте с ip роутера, ни в варианте с ip клиента


Можно подробнее? Пожалуйста, а?
1. Правила надо прописывать на DFL(ЛВС0) ?
2. Правил 2 штуки?
3. Action - ?
Service - ?
Source inerface - ?
Source network - ?
Destination interface - ?
Destination network - ?

Без прописывания не обойтись.

Адрес лучше сделать постоянный для клиента. Делается это в настройках пользователя на DFL.

Есть нюансы, но не буду в них углубляться. Могу лишь отметить:
- без прописывания можно обойтись, если для клиента DFL будет основным шлюзом, что нехорошо по паре причин.
- если сменить сети офисов на 172.16-31.x.x, то на windows клиенте маршрут прописывать не придется. созданный автоматически будет покрывать сети обоих офисов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ок, привязать пользователя к адресу? Как? static adress в свойствах пользователя?

И все равно,
route add -p 192.168.10.0 mask 255.255.255.0 *полученный IP* не дает эффекта.

Да

Без разрешающего правила и не заработает.

проверяйте работоспособность маршрута через команду tracert.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

где сменить ?
Выдаваемый клиенту? Или сети офисов?

о каком правиле речь? Я уже запутался......

Сети офисов и, следовательно, у клиента тоже.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сети офисов сменить нереально. Забудем об этом.
Если можно, поподробнее о правилах/правиле.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Пробую. На ЛВС0
UPD: Успех. Спасибо огромное!

Перечитал еще раз ветку - скорее всего дело было в отсутствии правила (правил), а не в маршруте, поскольку pptp-клиент получал адрес из подсети ЛАН0.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Неа. Пока маршрут с айпи клиента не прописал - не работало. Специально проверил