Добрый день!
Имеется DFL 260 e в центральном офисе(под сеть 77.0/24) и к нему два IPSec туннеля из доп. офисов
первый офис: Cisco RV042 под сеть 1.0/24
второй офис: Zyxel usg 20 w под сеть 200.0/24
Вопрос: Как сделать чтобы доп.офисы видели друг друга через центральный офис.

Прописать соответствующие IP правила - кто куда может ходить, и кто кого может видеть.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

На Dlink уже все прописывал именно так,а вот на Cisco такие группы не сделаешь,а на Zyxel нельзя сослаться на удаленную группу под сетей. если создаешь ее.Если соединить два доп. офиса между собой еще одним туннелем,то при добавлении пару правил в соседнюю сеть,все работает! Но вопрос именно в том чтобы соединить их через Dlink,он знает о доп. офисах но через себя эту инфу не пропускает и поэтому 1.0 под сеть не видит 200.0. А по этим настройкам по ссылке не помогает. Может есть какие-то еще правила,а ля объединить на Dlink все существующие под сети в группу или еще как-то.

все работает , перечитайте еще раз ! я сам лично проверял этот мануал .

если что то не работает
рисуйте схему сети от руки , и правила на DFL показывайте сринами , и все настройки .

на циске вам надо сказать что всЁ что надо лежит за туннелем , это нормальная маршрутизация , и циске не обязательно знать что там еще .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Переименовал кое-какие объекты чтобы было ближе к инструкции. Может я что-то где-то не допилил конечно,отправляю скрины.
http://clip2net.com/s/3nvjlyF туннель AВ
http://clip2net.com/s/3nvjJLi туннель АС

http://clip2net.com/s/3nvk9Co политики
Объекты на Dlink :
lan - 192.168.77.14
lannet - 192.168.77.0/24
fwB-net - 192.168.1.0/24
fwB - удаленный ip туннеля AB

fwC-net - 192.168.200.0/24
fwC(remotegw) - удаленный ip туннеля AC

http://clip2net.com/s/3nvmavg политики на Zyxel
bridge - это локальная сеть
fwC remotehosts - объединены 2 под сети 77.0/24 и 1.0/24

http://clip2net.com/s/3nvmU2E на Cisco только так нашел способ прописать.


Схема сети как в инструкции которую вы мне скидывали. К Dlink поднято два ipsec из доп. офисов

а где же заветные группы в LocalNet В ИПСЕК ?

вы хоть суть инструкции поняли ?
поясню на пальца для вашей сети А на DFL должна быть сеть в настройках ИПСЕК как группа из LocalNet И сети B вашей удаленной за другим ипсек .

вот поэтому я всегда говорю что туннели поднимать с параметром ALL-NETS. и маршрутизацию писать руками . тогда этих проблем не возникает и траффик бегает как надо .

на вопрос как поднять туннели с All-NETS , отправлю в поиск . описывал не однократно .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

По поводу LocalNet не понял. В IPSec туннелях указана группа LocalNet как в инструкции или я не туда смотрю? В первом туннеле добавлена группа localNet AB а в другом LocalNet AC. А вы говорите что еще нужно куда-то в настройки ipsec вставить такую группу?
На счет all net почитаю сейчас

ну если указана снимайте трассировки и смотрите где что затыкается

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я особо не разбираюсь во всех этих делах.Но экспериментировать мне больше нельзя
Я еще параллельно поднял туннель с таким же зюкселем(под сеть 222.0) и попробовал прогнать трафик на другой зюксель через Dlink. Эффект тот же,хотя по логике должно все работать.
Трасерт выходит из зюксель,а дальше все звездочки пошли...На Dlink имеются все правила :
1.из лан ланнет в туннель удаленная под сеть 222.0 и обратный
2.из туннеля лан 222.0 в туннель лан 200.0 и обратно
3. из лан ланнет в туннель удаленная под сеть 200.0 и обратно

В айписек с 222.0:
группа включающая в себя лан Dlink и 222.0
удаленная подсеть 222.0
удаленный ip подсети 222.0 и тоже самое для сети 200.0

Если не трудно киньте ссылку где вы описываете ipsec с использованием всех сетей,я так погуглил,понял что это нужно указать вместо определенных удаленных под сетей все сети,которые находятся за туннелями или смысл не такой? Просто если так,то получается все локальные сети(даже которым нельзя давать доступ в туннель)тоже будут видны?

отправить пакет пол дела , надо его еще принять .
а на длинке то прилетел этот пакет ?
в статус /соединения его видно ?!

сделайте на длинке правило выше всех
allow : any/all-nets any/all-nets ping - что то там OUT ..... если не прокатит . замените на NAT .

смотрите с статус конекшен - увидите ваш пакет там ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В статусе близко нет такого соединения(
На счет правила если его добавляю,то вырубается вообще интернет.

http://clip2net.com/s/3nyAuX5 из статуса

и вот это http://clip2net.com/s/3nyAZBV но похоже на teameviewer ,т.к. я к тестовому ноуту законектился по нему.

Ладненько Vladimir, я думаю оставлю соединение каждый с каждым, а со "звездой" думаю когда будет тестовая среда все сначала ручками сам соберу,т.к не один имею доступ к нему. Возможно есть какие-то правила на Dlink которые перекрывают все что мне нужно, созданные до меня. А то чувствую мы долго будем искать правду.
Спасибо за помощь!

P.S это трассерт 77.0 под сети http://clip2net.com/s/3nyE1RW если трасить 200.0 ничего не происходит вообще, хотя на zyxel прописано из лан в 200.0 next-hop туннель)

http://clip2net.com/s/3nzpQ5m нашелся пакет,но на zyxel не приходит)