Настроен IPSec туннель через DFL800 между тремя офисам 192.168.1.0 - 192.168.2.0 и 192.168.1.0 - 192.168.3.0, в офисе 192.168.1.0 есть выход в интернет через NAT сервер 192.168.1.1, как настроить DFL800, чтобы из офисов 2.0 и 3.0 можно было ходить в интернет через сервер 192.168.1.1?

Я бы лично не пускал инет трафик через IPsec, т.к. это нагрузка на DFL шифрованием не нуждающегося в этом трафика. А просто бы поднял на центральном DFL нешифрованный l2tp/pptp сервер для обслуживания инетом дочерних офисов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В данном случае необходимо шифрование из-за закона о Защите персональных данных.

Не вполне понятно. Локальный трафик и так будет шифроваться. А инет трафик и так ходит нешифрованным.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Есть понятие зон ответственности и выпускать за устройство трафик не стоит

По вопросу - либо добавляйте в ACL, либо второе правило (allow) меняйте на NAT

Но (к слову) DFL как VPN не будут сертифицированы, только МСЭ
Разрешенные прошивки под наши законы имеют только шифрование DES 56
Учитывайте это

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Перепробовал различные варианты с правилом NAT, почему-то не получается, у меня настройки следующие:
1 Allow_Standart Allow lan lannet ipsec_tunnel_3 remote_net_3 all_tcpudp
2 allow_standart Allow ipsec_tunnel_3 remote_net_3 lan lannet all_tcpudpicmp
3 Ping_Outbound Allow lan lannet ipsec_tunnel_3 remote_net_3 ping-outbound
4 ping_outbound Allow ipsec_tunnel_3 remote_net_3 lan lannet ping-outbound

Я создал интерфейс lan_www - 192.168.1.1, поменял второе правило на NAT ipsec_tunnel_3 remote_net_3 lan lannet all_tcpudpicmp, во вкладке NAT выбрал Specify sender address - lan_www, этот вариант не сработал, пробовал тоже самое только указывал ipsec_tunnel_3 remote_net_3 any all_nets all_tcpudpicmp, тоже не сработал, подскажите как настроить?

Где добавлять ACL в DFL 800 я незнаю.

Я говорил о том, что вместо SAT+Allow для портмаппинга надо использовать SAT+NAT


Покажите скриншотами


IPsec ACL задается через local, remote network в параметрах IPsec

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Общая схема сети:



В офисе 192.168.1.0 настройки DFL:



Менял на следующие, при этом во вкладке NAT выбирал Specify sender address - New IP Address: адрес 192.168.1.1

На примере DFL#1 (с интернетом) и DFL#2 (без интернета)

DFL#1

Intrefaces > IPsec > ipsec_tunnel_2
Ставьте Local network = all-nets

Rules > IP rules
# внутренний трафик
Allow lan/lannet ipsec_tunnel_2/remote_net_2 all_services
Allow ipsec_tunnel_2/remote_net_2 lan/lannet all_services
# интернет
NAT ipsec_tunnel_2/remote_net_2 wan/all-nets all_services

DFL#1

Interfaces > Ethernet > wan
Снимите галку Add default route if gateway is specified

Interfaces > IPsec > ipsec_tunnel_1
Установите Remote network = all-nets

Rules > IP rules
Allow lan/lannet ipsec_tunnel_1/all-nets all_services
Allow ipsec_tunnel_1/remote_net1 lan/lannet all_services

Если у вас адреса всех DFL в локальной сети ходят через шлюз (вне одной маски), то сделайте маршрут в Routing > Routing tables > main до DFL#1

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за помощь, настроил согласно Вашему варианту, он работает, но здесь получается в качестве NAT в Internet выступает DFL#1, а мне нужно чтобы в качестве NAT выступал сервер 192.168.1.1, который имеет свой отдельный выход в интернет, на нем поднят RRAS и настроен NAT, и имеется биллинговая надстройка. Для этого мне нужно all-nets запросы с других офисов направить на 192.168.1.1. Как это можно реализовать?

Если вам весь трафик отправить от DFL#1, то просто пропишите 192.168.1.1 шлюзом и делайте вместо NAT - Allow
На сервере пропишите маршрут что сети 2 и 3 находятся за DFL#1

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Не могу понять где прописать шлюзом адрес 192.168.1.1, если на локальных машинах добавить в сетки 2.0 и 3.0, то это ничего не дает,
еще вариант в качестве гатвей шлюза на интерфейсе wan1, то у меня ни IPsec ни PPTP(он поднят на DFL#1) сервер работать не будет?

Делайте альтернативную таблицу маршрутизации, в нее ставьте default route со шлюзом 192.168.1.1
Трафик из IPsec в интернет (по таблице main - скорее всего на wan) перенаправляйте в эту таблицу маршрутизации

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Настроил следующим образом:



В качестве lan_www = 192.168.1.1, добавил таблицу IPSec c маршрутом:



Таблица main у меня следующего вида:



Почему-то все равно интернет трафик не хочет идти через 192.168.1.1 (на самом сервер добавлены маршруты на 2.0 и 3.0, пинг до него и от него есть). Что я неправильно сделал?

Не видно, чтобы у вас был основной маршрут через IPsec в таблице main. Вам же PBR не нужен. Значит и доп таблицы маршрутизации тоже не нужны.

Кроме того, all-nets должна фигурировать в настройках IPsec как удаленная сеть.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.