Добрый день!
Есть два firewall-a dfl860e (dfl1 и dfl2), между ними настроен ipsec, как сдлать так чтобы клиенты dfl2 уходили в интернет через dfl1?

Видимо, настроить маршруты и правила фильтрации?

нет ли инструкции, может кто делал, здесь я этого не нашел

У меня - нет.

Могу предположить, что на dfl2 пригодится дополнительная таблица маршрутизации.

1. Определяете, какой трафик на dfl2 надо отправить через туннель
2. Делаете соответствующую таблицу маршрутизации
3. Делаете правило маршрутизации, направляющее нужный трафик по этой таблице.
4. Прописываете правила фильтра соответственно трафику. Не забываете на dfl1 сделать для него NAT

Вроде, должно работать.

недели две назад такой же топик был ...
ищите - тема обсосана донельзи ... много подводных камней .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Дополню:
На dfl1 делаете разрешающее NAT-правило тем кто из тоннеля ходить через wan1 до all-nets (или wan2, как у Вас там настроено, не знаю...)
(впрочем, это описано в п.4)

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Не, Володь, там обсуждали, что со стороны wan проникнуть на dfl1 и потом через тоннель достучаться до хоста в lan другого dfl.
Тут наоборот, из lan второго dfl нужно по тоннелю попасть до dfl1 и выйти в интернет. Топикстартер, мы верно Вас поняли?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Если речь идет о viewtopic.php?f=3&t=174715, то там, насколько я понимаю, одно из условий повторяло эту задачу. Правда, только для одного сервера, но это уже не так важно.

да все верно , это этот топик.
2 MTRX: где один - там и два, а дальше просто много

ps но я делаю туннели с All-Nets голова потом не болит .... а только маршруты пишешь

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Верно!

В орая часть задачи, выпустить один хост в интернет.. Но где один там и два, а дальше просто много.
Да и danilova, не однократно описывал эту схему.. И если включить фантазию, и немного смекалки, то в прикреплённых от Юрия, как раз про таблицы есть.... Дальше сами до тумкаете....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

тут два пути решения.

1. Просто выпустить второй офис в инет через существующий IPsec канал
2. Построить между офисами новый нешифрованный канал только для интернета (L2TP/PPTP/GRE)

Во втором случае несколько больше настроек. Но не будут тратиться вычислительные ресурсы на шифрование инет трафика. И соответственно, меньше нагрузка на устройства. И, возможно, выше скорость инета.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Красивый вариант.
А может GRE?
Только я не пробовал поднять одновременно GRE и IPSec, не знаю, будет ли работать.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Без разницы. Можно и GRE. Любой нешифрованный туннель. Я просто привык к L2TP. К тому же был случай каких-то косяков у моего провайдера, когда по внутренней сети ничто не работало, кроме L2TP.

Никаких проблем с функционированием нет. У меня подобное решение работало года 2.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, я тоже с этим встречался.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...