СергейП, снял его из шкафа, благо его клиенты сразу цепанули свои же ip-адреса с другого (общего) DHCP, буду с нуля настраивать.
Уже сделал сброс настроек.

Понятно, что все ограничивается АКТом, но было бы лучше так:

Всю схему настроить с соблюдением основных положений акта на DFL 860E.
А DFL-260E настроить по аналогии и хранить в холодном резерве.

АКТЪ можете опубликовать или озвучить положения, которыми руководствуетесь? Т.к. построение вашей сети заведомо ущербно и противоречит общепринятой сетевой логике.

P.S. тест по вашей утилитке на указанный сервер проходит успешно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, да тест и у меня тоже проходит успешно, но за DFL-260E - "Превышен таймаут".
Акт представить не могу, но второй роутер нужен что бы отделить Ноутбук от общей сети, т.к. на нём работают банк-клиенты. А так же запретить любой доступ к Интернет-ресурсам кроме серверов Банков.
Но оставить доменные ресурсы (файл-обменные сервера, AD)
Построение сети - ущербно.

Выпустить утилиту наружу не могу даже на настроенном с нуля роутере, видимо под конец дня глючу где-то.

При такой постановке напрашивается выделение банк-клиентов в отдельную подсеть. Т.к., по сравнению с прозрачным режимом, это более управляемое и менее подверженное рискам решение.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А Vlan не спасет для этого ноутбука ? и жосткие правила ?????

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Логи DFL-860 также могут представлять интерес, если на нем есть специальные правила, регулирующие трафик этой утилиты.

А вообще автору с самого начала надо было выложить конфиги обоих устройств и поделиться содержимым логов.
Одна-единственная строчка правила в начале - это маловато

Угадывание, как оно там может быть настроено, не выглядит перспективным способом решения задачи.

Да, решений может быть много, но предыдущий админ пугает меня тем, что Банки каким-то образом видят наши внутренние ip-адреса и даже МАС сетевых карт.
Я не очень понимаю как это возможно, но не хотелось бы писать письма во все Банки и перерегистрировать Банк-клиенты.
Роутер поставил обратно, залив старый конфиг.
P.S. Сегодня очень устал, конфиги выложу завтра.
Мне ещё не хватает опыта: с DFL впервые начал работать только с апреля, и то только править чужие конфиги и добавлять правила по аналогии. Работаю пока только в веб-интерфейсе на изучение CLI времени нет.

Заявляю ответственно, это абсолютно исключено. У меня опыт настройки клиент-банков нескольких десятков разных банков.

Как-то даже бухгалтерия переехала в другой район города и пришлось их выпускать до банков через туннель с прежнего IP и географического адреса. Разумеется, там была совсем другая внутренняя подсеть. Все работало как обычно.

Нет большой необходимости. Все прекрасно настраивается и мониторится через WEB.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

почитайте ....
я тоже не представляю как увидеть MAC
http://www.securitylab.ru/forum/forum24/topic45760/

IP если он за NAT тоже не распознать, тк это NAT

только если сама утилита передает эти данные то да . на сетевом уровне не увидите

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Клиент может стучать.

Да, один товарищ предположил, что отсылается просто вывод ipconfig и сверяется банком, что бы не подменялись машины (гипотеза).

В приложении конфиг-файл DFL-260E, к файлу добавлено расширение .txt - что бы форум пропустил.

Вообще-то, я думаю, Вы легко можете проверить обоснованность этих предположений - поменять IP и MAC на ноуте и посмотреть, будет ли работать клиент хоть из-под DFL-1.
Не думаю, что после неудачной попытки банк Вас отключит навсегда.
А вообще возможности прикладной программы собрать данные по системе, на которой она выполняется, довольно велики, можно и без ipconfig.

Кстати, еще одна мысль: если Вы не можете поменять сеть за вторым DFL, потому что она завязана на банк-клиентов, то, может быть, Вы можете поменять сеть за первым DFL?

Дополнение:
Эта утилита, только проверяет соединение, а потом уже ставится VPN-клиент, который коннектится к банку.
Вот, что я нашел в инструкции:
"Для установления соединения необходимо разрешить прохождение UDP трафика к серверу на порт 4433 и от севера к клиенту на порт 7500 (или на тот порт, который указан в настройках Континент-АП: Диспетчер устройств – Сетевые платы – Continent 3 PPP Adapter – Дополнительно – Порт UDP)."

Поменять сеть за первым DFL вообще не могу, очень много клиентов (а самое страшное отечественных железных ip-девайсов), и я пока не уверен что у всех DHCP. )))

А я не про утилиту, утилита, понятное дело, не привязана к IP клиента.

Я про сам банковский клиент.

Вообще меня больше интересует не вопрос "почему не работает утилита", а вопрос "как можно исправить кривую конфигурацию сетей". Потому что когда конфигурация кривая, остальные вопросы "почему" отпадают.

Да, кстати. Вам следует сравнить настройки обеих DFL в свете процитированной рекомендации. Возможно, на DFL-860 сделаны какие-то особые настройки, которые не были перенесены на DFL-260.

Это элементарно.
1. Запускаете сканер, который пингует всю сеть и выдает список всех отвечающих адресов. Разумеется, когда народу максимум
2. Смотрите на сервере DHCP, кто получил адрес через него.
3. Определяете остальных. В этом могут помочь ресурсы инета, позволяющие определить производителя по MAC адресу.

Хотя файерволы на компах могут блокировать пинги ((( Но тут уже помогут крики юзеров, когда адресация в сети сменится.