Чтобы окончательно не запутываться, будьте добры схему (графическую) с несклькими узлами в сетях, которые вы пытаетесь пинговать.

И приведите трассировку 10.24.5.49 -> 10.99.0.0

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

на сиске все подряд уже разрешил...
access-list 101 permit ip 10.0.0.0 0.255.255.255 10.24.5.48 0.0.0.15
access-list 101 permit ip 10.0.0.0 0.255.255.255 192.168.96.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.255.255.255 192.168.95.0 0.0.0.255
access-list 101 permit ip 192.168.95.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 permit ip 10.24.5.48 0.0.0.15 10.0.0.0 0.255.255.255

192.168.95.0 это WAN у DI. Подключение DI к интернету осуществляется с помощью ADSL модема D-Link. Который пересылает весь трафик на DI.
192.168.95.0 это сеть между модемом и DI.

А как сдесь привести графическую схему? и как с DI выполнить трасировку?

C DI нельзя трассировку, выполняйте с компа в его LAN.
Привести схему - нарисовать и выложить.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Зря вы морочитесь. Маршрутизация на DI-80x связана только с wan, а не с ipsec. В туннель пойдут только пакеты для remote subnet, причем если для нее указать маску не /24, то вас ждут разные сюрпризы типа недоступности или односторонней видимости части адресов.

Спасибо, за информацию! Я уже начал об этом догадываться, т.к. если
remote network 10.24.1.48, то сеть 10.24.1.48 пингуется, а сеть 10.99.0.0 - нет. Если
remote network 10.0.0.0, то сеть 10.24.1.48 не пингуется, а сеть 10.99.0.0 пингуется.
И так как изменение remote network (access list по сути) никак не влияет на структуру пакетов пинга, логично предположить, что cisco обрабатывала бы эти пакеты одинаково, если бы они доходили .

1. Вы говорите, что DI корректно работает с маской 24, а что на счет масок 8 и 16?
2. Может ли изменить этот баг новая прошивка?
3. Есть ли смысл задать 24ую маску на LAN 10.24.5.0? И указать её в качестве local network ipsek? И 10.0.0.0 в качестве remote network ipsek?
4. Не может ли мешать маршрут 10.0.0.0\8 X.X.X.1 "заварачиванию" трафика в ipsek? Необходимо ли убрать этот маршрут (никаких других маршрутов нет)?

1. Только то, что я сказал выше.
2. В разных прошивках этот баг меняется, но присутствует.
3. В вашу структуру сети я не вникал, ответ найдете сами.
4. По-моему, может. Но точно может сказать только автор прошивки.

1. Потрясающее оборудование!
2. Можете сказать по конкретней?
3. Со структурой это согласовано! Вопрос касается только способностей DI. Как его заставить работать? Когда ставлю LAN - 10.24.5.49 /24, и Local network в IPSEK - 10.24.5.0 /24 хосты в локалке перестают пинговаться. при этом хосты пингуют 10.24.5.49... Что за бред! Люди умные, помогите, наконец, найти подход к этому дикому зверю!

1. Какой энтузиазм!
2. Это надо проводить тесты. Можете посмотреть
viewtopic.php?t=62423
там видны различия в поведении 2х прошивок.
3. В принципе на простых настройках эта железка работает нормально. Но после сброса настраивать ее нужно сразу правильно. Насколько я понимаю, при изменении конфигурации часть конф/ини файлов не меняется или меняется не полностью, в результате чудеса. Ресетните девайс и настройте с нуля, все заработает.

Скажите, по дефолту у него шлюз какой задан? Надо знать на 100%, иначе после ресета мне придется ехать в такую запинду....

После резета либо вообще WAN надо настраивать руками, либо там DHCP. Точно уже не скажу, давно у меня были эти девайсы.

А вообще - DI не тот девайс, который стоит ставить туда, куда не дотягиваются руки. Лучше DFL-210 или кошку (пусть даже старенькую и бушную) - надежнее, да и возможностей на порядок больше.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, 100% ехать придется. Шлюз там 192.168.0.1 или 192.168.1.1, точнее посмотрите мануал.

Заказываем Cisco 1921. Спасибо за помощь!