Есть роутер Zyxel Ultra, который выполняет роль клиента PPTP и подключается к dfl-260.
На Zyxel PPTP не закрыт nat. адрес сервера PPTP 10.29.40.1, клиента 10.29.40.100. адрес сети за zyxel 192.168.1.0/24
Т.е. рабочие станции светят свои IP на DFL, но dfl их дропает на пути к сети за dfl(10.29.10.0/24):





Почему dfl дропает пакеты?

при всем при этом
из пула pptp все пропускает

Читайте и исполняйте правильно инструкции по настройке pptp.

Возможно, у вас в настройках pptp клиента на DFL не указана сеть за ним и маршрут туда не создается динамически при подключении zyxel клиента.

И в заголовке лучше упомянуть DFL, поскольку он есть.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

маршрут создан статически и если пакеты приходят на ДФЛ то он работает, но они дропаются самим дфл, что видно выше на картинке

пакеты идут по такому пути

192.168.1.0/24 -> 10.29.40.100 (zyxel pptp client) -> 10.29.40.1 (pptp server dlink dfl-260e) -> 10.29.10.1 (lan interface dlink dfl-260e) -> 10.29.10.0/24

попробуйте правило, расположенное выше всех остальных IP-папок и правил
NAT pptp all-nets lan lannet all-services

А затем вместо него правило
Allow pptp all-nets lan lannet all-services

А еще можно попробовать отключить статический маршрут, указать сеть за pptp аккаунтом и убедиться, что маршрут создается автоматически и верный.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

покажите правило all_icmp (оно проходит)
и еще раз распишите что куда должно идти с указанием интерфейсов и адресации, на скринах путаница

из скринов следует, что есть попытка достучаться с pptp клиента (192.168.1.41) до компа в lan (10.29.10.24) по порту 9001, но правила такого нет, создайте отдельное правило для сервиса и поместите его на верх
или неправильно настроена маршрутизация, покажите таблицу

при схеме "сеть за пользователаем" во всех местах вместо аллоу нужен нат (т.к. пакет проходит 2 шлюза, при аллоу он пройдет в один конец, но не сможет вернуться, на первом шлюзе обратно его срежет)

Нет. При верных настройках везде возможен Allow.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

нат конечено же был не нужен, после причесывания правил все заработало, так и не понял что помогло

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку