Уже много лет в центральном офисе стоит и используется DFL-210 для подключения удаленных офисов по VPN. В удалённых также 210 или пришедшие на смену 260е.
Сейчас на смену сохо 210 которому уже Nлет был куплен DFL-860e с двумя WANами (как раз под запасного провайдера).

Суть проблемы.
Как при портировании конфигурации с 210 с допиливанием (замена правил под wan1,wan2), так и с настроенной с чистого листа конфигурацией - при подключении с ПК - VPN устанавливается, ПК видит сеть центрального офиса.
При подключении с 210/260е - с них сеть видна и пингуется, а с компьютеров подключенных к ним - нет (при этом - этиже DFLки с компьютерами нормально и штатно работают со старой 210 в центральном).

Это хардварная проблема конкретного 860е или есть отличие и тонкость в настройке 860 DFL (2два WAN или еще что)?

route print с виндовс клиентов
и status routes с dfl
в студию!
это в первую очередь

И скриншоты правил .
Да и какой впн то? Их много.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Особенностей никаких нет, за исключением второго wan.
Скорее всего забыли перенести галочку в конфиге VPN сервера.
Сравнивайте внимательно.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

забыл уточнить - с самой коробки региона видные и 0 сегмент с компьютерами (центральный офис) и компьютеры регионального офиса.

VPN как L2TP так и PPTP..
И как я уже писал - если подключаться не через коробку в удалённом, а напрямую с ПК - всё работает. (под темже логином/паролем)
Проблема не в удалённых ПК и коробках в удалённых офисах - со старой DFL кой они работают штатно.

маршруты на удаленные сети, это два последних?
ну и "мясорубка"
зачем на маршруте local_IP?
вроде как в документации написано, что он предназначен что-бы можно было подключать к маршрутам сети других диапазонов (отличных от lan) без перестройки адресного пространства
скинь (те) не таблицу маршрутизации, а меню статус, пункт - роутес
1 картинку - при туннеле между дфл
2-ю - при подключенном виндовом клиенте, при котором все работает

и еще вопрос, у Вас на все филиалы одна сеть (один диапазон)?

Два последний это в 40 и 50 сегменты в центральном. (нек-рые ресурсы в других подсетях).

При подключении по VPN удаленный ПК/коробка получают IP из определенного в адресной книге сегмента.

что именно на картинках показать? User Authentication Status?

нет. У каждого офиса своя подсеть

во вложении - status routes

если каждому филиалу своя подсеть, то все нормально
непонятные моменты:
1 не видно интерфейса в маршрутах по которому соединяются дфл, чем сети то соединяются, каким интерфейсом?
2 я так и не понял зачем local ip прописан на маршруте

вот пример, для маршрута соединяющего с другим дфл - свой интерфейс и своя подсеть

Вы пишете что с виндовс все работает, и там таки да - там все нормально
но для связи между дфл - статического маршрута с впн интерфейсом, в таблице нет

кажется начинаю понимать
CNW_PPTP - это получается канал к удаленной сети?
какая подсеть в удаленном офисе?

в сообщении выше - статусы с главной ДФЛ.

вот с удаленного офиса.
или и от центральной должен маршрут идти?

да. CNW_PPTP это PPTP/L2TP Servers

теперь понятно
но на всякий случай повторю вопрос: CNW_PPTP - это получается канал к удаленной сети?
если да, то:
я так понял, что Вам через впн надо соеденить сети 192.168.0.0 и 192.168.46.0
для этого, в обоих устройствах должны быть маршруты на эти сети (на удаленную для данного dfl сеть)
в крайней картинке такой маршрут есть, а в предыдущей с динамическим маршрутом, нет
чтоб он появился, надо в настройках сервера l2tp для пользователя в свойстве "Networks behind user:" прописать сеть 192.168.46.0
и тогда при подключении пользователя к l2tp серверу будет подниматься еще один динамический маршрут на сеть 192.168.46.0
т.е. у Вас получается, что:
за клиентом l2tp сервера есть еще одна сеть, в которую надо ходить

хм. видимо при перделке конфы для тестов "с нуля" забыл прописать в эту сточку.

Впрочем, ситуацию оно не решило

во вложении - статусы с тестовой конфы и с предидущей на которой тоже не работает, но сточка в Networks behind user была ...

вот, теперь картинка с маршрутами похожа на правду
(на всякий случай, чтоб не запутаться можно еще раз вывесить картинки со статусами маршрутов на обоих устройствах - как оно щас есть)
переходим к правилам:
даем из одной сети в другую постоянный пинг и смотрим в логах (фильтруем по источнику или назначению) - как он дропается
если на дфл из-за которого пингуем не дропается, то тогда
заходим в статус коннекшин и смотрим есть ли соединение ицмп с нашими IP (источником и назначением)
если соединение есть то тогда на этом дфл все нормално (можно конечно сразу посмотреть в коннекшинах, а потом искать в логах ), и тогда
смотрим в логах на другом дфл,
если это соединение есть и на другом дфл, то проблема на на компе который пингуем (фаервол например или таблицу маршрутизации надо смотреть)

Всё!
Спасибо! Разобрался!

Дело было в том, что на шлюзе был прописан путь для этого сегмента к старой DFLке))