Добрый день!
Имеем 2 длинка связанных IPSEC VPN`ом. На 210 был проброшен порт внутрь локальной сети на рдп, теперь хотим отредактировать правило, чтобы он натил внутрь другой подсети которую держит 260E, но у нас что-то не выходит, хоть и делаем все по инструкции. Какие тут подводные камни? Спасибо.

опишите или нарисуйте схему. там все нехитро. просто надо делать все точно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

схема такова
внешний IP1> внутренний IP 10.1.1.0/24>IPSEC VPN>внешн IP2> внутр. 10.10.10.0/24
Мы хотим сделать так, чтобы запрос на внешний IP1 приходил на 10.10.10.0/24
Голову сломали, ничего не работает! На шелезке с внешн.IP1 крутится порядка 5 туннелей, но дело думаю не в этом...

IPsec VPN - это канал между сетями через внешн IP1 и внешн IP2?

У сети 10.10.10.0/24 выход в инет через свой шлюз?

что за службу прокидываете?

Все туннели обеспечивают связь нескольких локальных сетей?

Всех этих вопросов могло и не быть, если бы вы не поленились и сразу описали проблему полно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1. так и есть, я это написал
2.да шлюз у них свой
3. через определенный порт пробрасываем 3389 внутрь сети
4. центральный шлюз держит все туннели, а те в свою очередь только по 1му

А почему бы не прокидывать этот порт прямо на нужный DFL, а не на центральный?

Если необходимо через центральный, то делать как обычно, но второе правило сделать NAT вместо Allow.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Нужно именно через центральный, чтобы удаленным офисам не переделывать ярлыки обьясняя всем по телефону\почте.
Можно про нат поподробнее? В правиле проброса указать не sat a nat?

вроде понял, вместо аллоу поставил нат, вроде прошло... спасибо.

Либо NAT

Либо в IPsec со стороны порт-маппинга указывайте network = all-nets, при этом на удаленном DFL обрабатывайте входящие через альтернативную таблицу и маршрут на сеть главного офиса сделайте руками
Сложно, но на машине-приемнике будете видеть белые адреса тех, кто подключается

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Думаю, для RDP это совсем не важно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.