На "той стороне" предложили попробовать GRE over IPSec, попробуем...

по группе интерфейсов INTERNET такие настройки:

А почему собственно IPSec до офиса там нет ?
У вас дестинейшином должен быть тоннель! Или группа, включающая тоннель. И метрика у тоннеля должна быть меньше! Тогда трафик пойдет именно в тоннель, а не в wan.
И маршрут до all-nets должен быть через тоннель.

Именно об этом я писал в своем первом ответе в этом топике.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

INTERNET - это группа интерфейсов для выхода в Интернет. Почему там должен быть IPSec на удаленную площадку?

Когда вы говорите, что дестинейшином должен быть тоннель (IPSec на Office ?) - вы имеете ввиду это для траффика идущего с all-nets? В каком правиле?

И маршрут до all-nets должен быть через тоннель - это вы про маршрут, который я выделил красным ниже?


По умолчанию сейчас 0.0.0.0/0 имеет гейтвей wan1_gw

Сядьте, возьмите листочек и ручку и спокойно нарисуйте кто как и через какие интерфейсы у вас ходит.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Я читал только первый пост. Судя по нему, проблема вполне может быть на стороне офиса B, что бы не говорили их админы. Я бы сказал, что это версия наиболее вероятна.

Думаю, без полного участия их админов проблему в любом случае не решить. Хотя бы попросите учетку на их рутер с правами аудитора.

Схемка тоже очень нужна.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Схемка:

Если предположить, что в офисе B тоже DFL, и даже если нет, то там тоже надо настраивать:

- и хождение в вашу сторону all-nets по IPsec
- и PBR

Или считается, что это сделано?
И протестировано?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

и таблицу ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Упрощенно

Проверяем настройки на обоих DFL.

1) Удаленная DFL которая заворачивает IP в тоннель.
Настройки IPsec.
Local network: lan1_net
remote network: all-nets
remote endpoint: IP удаленной DFL.

На вкладке advanced снимаем галочку с Add route statically

остальное все стандартно.

Лучше на задавать параметр IP Addresses во владке Advanced.

создаем альтернативную таблику маршрутизации alt_internet тип only.



создаем маршрут Ipsec all-nets metric 100

создаем маршрут в таблице марщшрутизации main.

ipsec remote_net (подсеть за DFL через которую выходим в интернет)

Создаем правило PBR

lan1 lan1_net -> wan1 all-nets all services forward table alt_internet return table main.

Создаем IP пдавила.

lan1 lan1_net -> IPsec all-nets all_services allow включаем логирование


2)Настройка DFL через которую выходим в интернет.

Настройка IPsec.

Remote net: подсеть за удаленным DFL
local network: all-nets

остальные настройки IPSec стандартные.

Создаем правила.

Ipsec remote_net -> Wan1 all-nets all-services NAT включаем логирование.

Диагностика по ssh.

На удаленной DFL которая выходит в интернет.

ping -verbose 8.8.8.8 -srcip=xxx где xxx IP хоста который должен выходить в интернет.

Убеждается, что маршрутизация поднялась правильно, и 0.0.0.0 для этого хоста IPSec, если нет, копаем подробнее маршрутизацию.

На DFL через который выходим в интернет.

ping xxx где xxx IP хоста который должен выходить в интернет, умеждаемся, что связаность между сетей есть.
ping -verbose 8.8.8.8 -srcip=xxx где xxx IP хоста который должен выходить в интернет. Опять смотрим на сообщения о маршрутизации.

Далее пингуем с самого хоста и смотрим логи по source IP, если в логах есть con_open, то трафик прошел, если drop, комаем маршрутизацию и правила.

Если необходимо заворачивать ВЕСЬ трафик в IPSec то будет немного по другому.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

На той стороне не DFL-ка. Немного напутано в предыдущем посте по тому кто удаленный и кто выходит в интернет.
Пинг на 8.8.8.8 с нашей DFL-ки от имени удаленного хоста 172.24.7.21 использует таблицу main используя маршрут 0.0.0.0/0 wia wan1


т.е. вроде так как надо маршрут строится. А вот наоборот пинг:



посмотрим, что админы на той стороне скажут.