Доброго времени суток !
Подскажите, пожалуйста, могут ли маршрутизаторы D-Link поддерживающие IPSec пробрасывать GRE over IPSec ?
Если да, то какие модели ?
Я попробовал сделать это на паре DIR-130 - не получилось.
Просмотрел все настройки, почитал мануал, порыскал на форуме, но нигде не нашел какой-либо опции для этого. В настройках файрвола у DIR-130, в предопределенном правиле для IPSec, подразумевается только TCP/UDP/ICMP/ALL, по умолчанию выбрано ALL ( ALL, как мне показалось, означает все три TCP/UDP/ICMP вместе, но не более того).
Т.е. управление протоколом GRE (номер 47) или каким-либо другим, отличным от TCP/UDP/ICMP судя по всему не подразумевается.
Пинги с cisco1 на cisco2 проходят нормально.
Если я меняю тип туннеля с GRE на IPIP, он начинает работать, что является косвенным подтверждением моей мысли о том, что через IPSec туннель GRE у DIR-130 не проходит, но мне нужен только GRE.

Детали тестовой схемы:

cisco1 [ip:10.10.10.20] <-> [ip:10.10.10.10] DIR-130 [wan pppoe, ip: 193.25.32.12] <-> (WAN ADSL ) <-> [wan static ip:88.23.45.2] DIR-130 [ip:10.10.11.10] <-> [ip:10.10.11.20] cisco2

поверх этой схемы:

[Tunnel SRC:10.10.10.20 - DST: 10.10.11.20] cisco1 [Tunnel0 ip:10.20.20.1] ===== GRE over IPSec ===== [Tunnel SRC:10.10.11.20 - DST: 10.10.10.20] cisco2 [Tunnel0 ip:10.20.20.1]

части конфига cisco1:

interface Tunnel0
ip address 10.20.20.2 255.255.255.252
tunnel source 10.10.10.20
tunnel destination 10.10.11.20
!
interface FastEthernet1/1/0
ip address 10.10.10.20 255.255.255.0
full-duplex
!
ip route 0.0.0.0 0.0.0.0 10.10.10.10

части конфига cisco2:

interface Tunnel0
ip address 10.20.20.1 255.255.255.252
tunnel source 10.10.11.20
tunnel destination 10.10.10.20
!
interface Ethernet0
ip address 10.10.11.20 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.10.11.10

пинги:
----------------------------------------------------------------------------
cisco1#ping 10.10.11.20

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.11.20, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/58/60 ms
cisco1#
----------------------------------------------------------------------------
cisco2#ping 10.10.10.20

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.20, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/57/64 ms
cisco2#
----------------------------------------------------------------------------
с включенным tunnel mode ipip
cisco1#ping 10.20.20.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.20.20.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/60/76 ms
cisco1#
----------------------------------------------------------------------------
с включенным tunnel mode gre ip
cisco1#ping 10.20.20.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.20.20.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
cisco1#

Нет на DIR-130 такое не возможно. Такое реализовать вы можете только на DFL-210/260/800/860/1600/2500

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Понятно, спасибо за быстрый и исчерпывающий ответ