врятли путаю, я оставил один IPsec туннель (головной офис), а на удаленном офисе отключил IPsec туннель вообще. В головном офисе IPsec сыпит такие ошибки

Туннель надо устанавливать как на 1 dfl так и на втором? или нужно на одном, а то в мануале общем написан пример только в одну сторону, а в другом мануале написано, что надо на двух устанавливать?
Удаленная сеть находится за провайдерской сетью, я так понимаю за Nat, может это влиять?, ели на маршрутизаторе wan_ip прописан один, а на самом деле другой ip внешний, который выдал провайдер.

Зачем вам remotenet = 0.0.0.0?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо Всем!, постепенно удалось поднять туннель, дело было в том что я действительно спутал сети, которые описывает туннель с wan сетью. Уже было отчаялся, но набрел на инструкцию в нете, которая меня и выручила http://www.dlink.ua/ru/IPSec_DFL_DSR. Нуб я просто в этом деле еще, впервые поднимаю туннель lan_to_lan.
Подскажите ответ на такие вопросы:
1) Надежен ли IPSec туннель? как понять по какому алгоритму или протоколу идет у меня шифрование, по умолчанию разрешены все.
2) Можно ли будет попасть в удаленную сеть из Vlan сети через этот туннель? может и правила подскажите или натолкнете на похожую тему. Мне нужно будет из vlan сети головного офиса попасть по RDP протоколу на сервер удаленной сети, которую я объединил по IPsec?
3) Какой ширины интернет-канал нужен для того, чтобы пользователи по IPSec туннелю попали на удаленный сервер по RDP, планирую примерно до 20 клиентов подцепить по удаленным рабочим столам к серверу в удаленной сети + 50 клиентов ползающих по сайтам. Планирую выделить wan канал из имеющегося, чтоб пользователи удаленных рабочих столов смогли без особых тормозов сидеть в базах через IPsec по RDP.

PS: Намудрил, конечно, вопросы, но если поймете, посоветуйте, плиз, а то 4 дня уже не ем не сплю - сеть ворочу.

Эх, где Вы были раньше))) Я потерял день жизни и КУЧУ нервов, чтоб понять где загвоздка) Именно в этом и было дело. просто по анг не шарю, а логику перевода на DFL не понял((. Спасибо, что вникли и подсказали, может кому пригодиться.

да можно и ремоте нет 0.0.0.0 , только правильно достроить туннель ..... у меня так работает и резервирование и балансировка по этим туннелям работает

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

1) Посмотреть текущий алгоритм можно в Status/IPSEC. Если прошивка исходно была WW, достаточно поставить High для IKE и для IPSEC в настройках туннеля, если была раньше RU -- нужно самому настроить эти
High в Object/VPN Object/IKE (IPSEC) Algorithms. Надежные алгоритмы -- 3DES и AES-128 или 256. При их использовании можно быть уверенным, что через VPN Вас не взломают. Взломают другим способом --надежность типичной локалки на Виндах близка к нулю.
2) Два способа. a) На мой взгляд, геморройный, но обычно рекомендованный в качестве официального. Создать группу из нужных подсетей (LAN, VLAN) и указать ее в Local Net туннеля, аналогично на втором маршрутизаторе -- в Remote Net. б) Как делаю я. В Local/Remote везде указать all-nets, снять галки автоматического создания маршрутов, маршруты создать руками.
В обеих случаях нужно также написать правила, разрешаюшие нужный трафик.
3) RDP кушает довольно много, для указанной Вами конфигурации 10 Мбит/с минимум, но все зависит от того, какие задержки пользовали считают приемлемыми. Также рекомендуется секвестировать излишки (обои, звуки, слишком много цветов) настройкой сервера терминалов. Еще важнее, чтобы канал быть надежным, иначе соединение будет рваться. При серфинге в инете маленькие разрывы практически незаметны, браузер делает несколько попыток загрузки, в крайнем случае -- не отобразит какую-нубудь картинку, а здесь требования выше.

Lannet пропишите нормально
основной 192.168.0.0/24
удалённый 192.168.1.0/24

Спасибо за ответ, хоть смог сообразить куда копать.

Никак не получается второй вопрос, чтоб пробросить трафик из Vlan в Ipsec. Может напишите поподробнее что сделать)
есть сеть в офисе_1 lan - 192.168.0.0/24 и в нем же есть Vlan 192.168.2.1 (на основе dfl-управляемый свитч) . Lan и vlan не должны видеть друг друга. Есть второй офис2 lan2-192.168.1.0/24. Между lan и lan2 настроен Ipsec туннель, lan видит lan2. Как сделать так, чтоб lan и vlan(можно и даже нужнее vlan видела lan2) видели lan2, но при этом lan и vlan не видели друг друга. Если можно, то пример правил и маршрутов, спасибо.

правила напишите , вот и все ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В своиствах туннеля что в качестве Local и Remote Net? Прочитайте внимательно пункт 2 моего ответа.

Спасибо, сделал. Нужно быть просто более внимательным, а так железки норма, настроить можно многое.

Спасибо, объединил сети локальные в одну и правила поправил, все заработало.