Ситуация:
Есть сеть 10.10.10.0/24, центральный роутер - DFL-210
Нужно соединение по IPSEC с другой сетью для доступа к части их ресурсов. Проблема в том, что у них в локалке та-же сеть, 10.10.10.0/24.
Менять подсети никто не хочет т-к туннель нужен на время, через пол-года/год он станет неактуален.

Т-е, надо объяснить роутеру что пакеты идущие в туннель должны идти не из сети 10.10.10.0 а например из сети 10.10.5.0, а получаемые из туннеля надо конвертировать обратно из 10.10.5.0 в 10.10.10.0.
Насколько я понял, нужно инспользовать SAT, но вот как именно будут выглядеть правила и есть ли тут какие тонкости, например во взаимном расположении правил по порядку, почитав мануал не очень понял.
Если кто сталкивался с подобной ситуацией и может подсказать, был бы очень благодарен...

если вы хотите соединить две сетки воедино с одинаковыми под сетями, то такое на дфл не получится. разве что побить сетки на под сетки
10.10.10.0/25,
10.10.10.128/25

_________________

тут больше геморра. лучше сменить адресацию в той сети, где это легче сделать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Про гемор согласен

Как вариант решения в случае совсем безвыходной ситуации можно сделать IPsec и включить ARP proxy

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Мне надо не полноценно соединить две сетки, надо дать доступ в другую сеть буквально нескольким единичным компам, их очень немного и допустима ситуация с прописыванием инфы про них на роутере вручную. Ну, например, что адрес 10.10.10.77 в ту сеть выпускается как 10.10.5.77.
Это не меняет дело в лучшую сторону? Переезжать в другую подсеть уж очень не хочется...

неужели вообще без вариантов, как это сделать для двух компов, прописав что-либо на DFL?

Если доступ нужен единичным компам и если можно не заморачиваться насчет их адресов, отключайте автоматический роутинг, делайте более приоритетный маршрут только на те IP адреса, которые нужны из удаленной сети (естественно, что их не должно быть в своей)
Прием пакетов из туннеля оформите правилом NAT ipsec > lan, обратное правило так и оставьте Allow lan > ipsec

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Проблема решена, может кому пригодится
по пунктам:

1. в адрес-буке создаем запись с диапазоном адресов, с которого мы бы хотели выходить в удаленную сеть (не пересекающимся с сетью места назначения)
2. создаем NAT Pool, в котором указываем эту запись с диапазоном
3. строим туннель
4. создаем правило NAT: из интерфейса LAN, сети LAN Network, в интерфейс - туннель, сеть удаленного офиса, используем созданный NAT Pool
5. создаем стандартные правила Allow для туннеля, учитывая что надо разрешить передачу пакетов в туннель и прием из туннеля для сети LAN, а не для указанного в NAT pool диапазона.