Добрый день

Прошу помощи зала. Общая схема:
Площадка 1 (office): DFL-860E, LAN-интерфейс 192.168.5.254, локальная подсеть 192.168.5.0/24

Площадка 2 (dataline): DFL-260E, LAN-интерфейс 192.168.8.254, локальные подсети 192.168.8.0/24 и 192.168.2.0/24 (внутренний роутинг через L3-свитч)

между ними L2L IPSec туннель (в настройках IPSec local и remote сети заданы как 192.168.5.0/24 и 192.168.8.0/24, подсеть 2.0/24 отсутствует)

Картинка:


Нужно: прозрачная маршрутизация между всеми сетями
Проблема: сети 5 (площадка 1) и 2 (площадка 2) друг друга не видят, не могу понять почему.

Умозрительный трейс пакета из 5 в 2:
1. Пакет идет на дефолт гейтвей 5.254 (DFL)
2. Там правило
Allow dataline:192.168.8.0/24 -> lan:192.168.5.0/24 "all_tcpudpicmp"
и маршрут
192.168.2.0/24 dataline
(dataline - имя IPSec-интерфейса)
3. Пакет попадает на 8.254, принимается правилом:
Allow office:192.168.5.0/24 -> lan:192.168.2.0/24 "all_tcpudpicmp"
видит в списке маршрутов
192.168.2.0/24 lan 192.168.8.234
4. идет на L3 свич, который уже там маршрутизирует в подсеть 2.0
5. Попадает на машину в сети 2.0
6. Возвращается в L3 свич в котором дефолт гейтвеем указан 8.254 (DFL)
7. Пакет принимается 8.254 (DFL), т.к есть правило
Allow lan:192.168.2.0/24 office:192.168.5.0/24 "all_tcpudpicmp"
и отправляется на туннель т.к. есть маршрут
192.168.5.0/24 office
(office - имя IPSec-интерфейса)
8. Попадает на 5.254 и принимается, тк есть правило
Allow dataline:192.168.2.0/24 -> lan:192.168.5.0/24 "all_tcpudpicmp"
и маршрут
192.168.2.0/24 dataline
(dataline - имя IPSec-интерфейса)
9. Тут directly connected локальная сеть и он попадает на машину отправителя

Из моих экспериментов выявилось что если на 8.254 повесить правило
NAT lan:192.168.2.0/24 -> office:192.168.5.0/24 "all_tcpudpicmp"
то все начинало работать, но в одну сторону из 2.0 в 5.0
Если повесить симметричное правило на 5.254 ничего не работает
Но, собственно, натирование здесь не нужно.
Есть идея что проблема в том что сеть 2.0 не объявлена в туннеле, но в моем понимании маршрута должно хватать для того чтобы оно туда уходило.
ЧЯДНТ?

Настройки на 192.168.8.254



Настройки на 192.168.5.254

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Собственно, починил!
Что нужно было сделать указать в настройках тунеля в 5.254 в remote network группу из подсетей 2 и 8
и наоборот на 8.254
Сколько боли я получил, сколько всего перепробывал, а было все достаточно очевидно.
Спасибо тебе большое!

можно и по другому .
указать и all-nets , но будут некоторые подводные камни ... решив их . к этой проблеме вы ни когда не вернетесь.
но опять же таки All-nets накладывают некоторые ограничения на память человеческую

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку