Есть DFL в городе N, его lan соединяется с DMZ на устройствах DFL в городах X,Y, Z по средствам ipsec.
Как сделать чтобы персонажи присоединенные к DMZ городов X,Y, Z ходили в интернет через устройство города N и не палили свои местные IP?

ничего занятного

В настройках всех IPsec указываете all-nets на стороне N. Исправляете маршруты и IP-правила, чтобы все искали интернет там.

Разве что в дочках лучше сделать отдельные маршруты на точку приземления туннеля в N

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Благодарю, всё получилось. Теперь подскажите как в такой схеме настроить SAT на комп в dmz в городе Y, чтобы при обращении на 3389 города N происходил SAT на комп в сети DMZ города Y

А вот тут вам форум в помощь . Да и по сути как обычно делается

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вы молодец. Без лишних вопросов справились по минимуму предоставленной информации.

делаете на DFL N обычный проброс портов rdp парой SAT/Allow. А на DFL Y просто правило
Allow Ipsec_N-Y all-nets dmz (dmznet_или_конкретный_адрес) rdp

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

туплю в настройке ipsec т.к. в моей голове не полностью укладывается принцип работы соединения без IP адресов на конечных точках.

Да все как обычно двумя парами сат т аллоу ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

вот с sat что-то никак не клеится =(
в lan перенаправляется нормально а в ipsec нет
как вообше работает механизм SAT где почитать?
пакет отбрасывается устройством Y:

2011-04-17 14:26:27 Warning RULE 6000051 Default_Access_Rule TCP IPSec_MSK xxx.yyy.zzz.215 172.17.100.200 51016
3389 ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1
хотя правило allow src: any allnets, dst: DMZ Y_NET_DMZ есть

PS
SAT дожал, заработало, проблема была в маршрутах и в том что тестировал из города Y и это не учел..