странное поведение pptp на KN-1710

[bzzztomas77]

День добрый, была связка из giga3 (pptp сервер) и giga2 (pptp клиент). поменял giga2 на KN-1710, вроде бы сделал такой же конфиг:

interface PPTP0
    description gw
    role misc
    peer xxx.ru
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    ccp
    security-level private
    authentication identity vpn
    authentication password ns3 xxx
    encryption mppe
    ip dhcp client no dns-routes
    ip dhcp client name-servers
    ip access-group _WEBADMIN_PPTP0 in
    ip tcp adjust-mss pmtu
    connect
    up

интерфейс поднимается:
 

               id: PPTP0
            index: 0
             type: PPTP
      description: gw
   interface-name: PPTP0
             link: up
        connected: yes
            state: up

             role: misc

              mtu: 1350
         tx-queue: 1000
          address: 192.168.10.10
             mask: 255.255.255.255
           global: no
   security-level: private
        auth-type: none
           remote: 192.168.1.1
           uptime: 2115
       session-id: 0
             fail: no
      last-change: 2115.511779
              via: CdcEthernet0

ping с extra на giga3 и обратно ходит как положено:

(config)> tools ping 192.168.10.10
sending ICMP ECHO request to 192.168.10.10...
PING 192.168.10.10 (192.168.10.10) 56 (84) bytes of data.
84 bytes from 192.168.10.10: icmp_req=1, ttl=64, time=45.76 ms.

(config)> tools ping 192.168.1.1
sending ICMP ECHO request to 192.168.1.1...
PING 192.168.1.1 (192.168.1.1) 56 (84) bytes of data.
84 bytes from 192.168.1.1: icmp_req=1, ttl=64, time=41.10 ms.

теперь пытаюсь сделать пинг с ноута подключенного к extra (IP=192.168.3.71) и ничего..

а вот если с giga3 (pptp сервер) пингую тот же 3.71, то все ок:

(config)> tools ping 192.168.3.71
sending ICMP ECHO request to 192.168.3.71...
PING 192.168.3.71 (192.168.3.71) 56 (84) bytes of data.
84 bytes from 192.168.3.71: icmp_req=1, ttl=63, time=44.47 ms.

ну и основная проблема, что с ноут не могу зайти на giga3 по http. когда вместо extra стоял giga2, то не было такой проблемы - поднял pptp и пожалуйста вся 192.168.1/24 доступна.

на extra и giga3 работает последняя 3.1.26

надеюсь на помощь, спасибо.

 

[bzzztomas77]

проблема решилась добавлением разрешающего правила в сегменте Home (permit/any), что я нахожу очень непонятным.

интерфейс WifiMaster0/AccessPoint0 заявлен как security-level private, почему же ему нельзя выйти через PPTP0 ?!

 

[r13]

2 часа назад, bzzztomas77 сказал:

проблема решилась добавлением разрешающего правила в сегменте Home (permit/any), что я нахожу очень непонятным.

интерфейс WifiMaster0/AccessPoint0 заявлен как security-level private, почему же ему нельзя выйти через PPTP0 ?!

 

Потому что pptp0 тоже private, а по умолчанию включена изоляция private сегментов

Вот если бы pptp0 public был то правило бы не понадобилось. 
Ну или отключать изоляцию

Изменено 20 октября, 2019 пользователем r13

[bzzztomas77]

1 hour ago, r13 said:

Ну или отключать изоляцию

отключил, помогло, спасибо. после giga2 неочевидный момент..