Вам весь трафик надо выпустить через NAT в другом офисе или только определенные сайты? Вариант с объединением DFL и NAT шлюза вы не рассматривали?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Дело в том, что у нашего провайдера трафик делится на платный и бесплатный:
- Бесплатный трафик учитывать не требуется - его можно выпускать напрямую через DFL-NAT в обоих офисах (что я и сделал).
- Что же касается платного трафика, то настроен учет на этом GW с разбивкой по персоналу, по отделам, подразделениям и департаментам. Переделывать все это на DFL с настройкой авторассылки отчетов - ни желания, ни времени нет.

Собственно необходимость строить мост между 2-мя площадками родилась в результате "быстрого" открытия филиала - через неделю все должно работать, причем, естесственно, так чтобы пользователи разницы не заметили...

Ну, тут более менее просто все...

1. Ipsec со стороны шлюза делается на all-nets. Роутинг автоматически со стороны допофиса отключайте

2. В допофисе

2.1. Заведите группу бесплатных адресов, например isp_free_nets

2.2. В таблице маршрутизации main пропишите маршруты
wan all-nets
remote_net ipsec

2.3. Заведите альтернативную таблицу маршрутизации (например alt_lan_internet) и добавьте в нее маршруты
remote_net ipsec 90
wan isp_free_nets 90
all-nets ipsec 90 (мониторинг пингом удаленного шлюза)
all-nets wan 100

2.4. Добавьте правило PBR
lan/all-nets wan/all-nets all_services, forward alt_lan_internet, return main

2.5. Добавьте правила
Allow lan/lannet ipsec/all-nets
NAT lan/lannet wan/all-nets

3. На стороне главного офиса

3.1. Добавьте в таблицу маршрутизации main маршрут
remote_net ipsec

3.2. Заведите альтернативную таблицу маршрутизации (например alt_remote_internet) и добавьте в нее маршрут
all-nets lan (адрес вашего NAT шлюза)

3.3. Добавьте правило PBR
ipsec/all-nets wan/all-nets all_services, forward alt_remote_internet, return main

3.4. Добавьте правило
Allow ipsec/remote_net lan/lannet

4. На вашем NAT шлюзе

Желательно, чтобы DFL у него был шлюзом по умолчанию. Если такое невозможно, то пропишите роутинг на удаленную сеть (за ipsec) на DFL.

Если в главном офисе все компы имеют шлюзом эту машину, то либо пропишите роутинг на удаленную сеть через DFL, либо сделайте правила на самом шлюзе.

В итоге

Я не рассматривал настройку интернета главного офиса, но все можно сделать по аналогии. Главный вопрос - что у вас там является шлюзом?

В удаленном офисе бесплатный трафик (по группе) заворачивается в интернет, остальной пускается в IPsec, если NAT шлюз работает, иначе - через интернет. Это для отказоустойчивости.

В главном офисе DFL просто роутит все на ваш шлюз...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav

Вот это - ДА!
Как подробно "по полкам разложено" - спасибо большое!
Теперь и логику работы аппарата можно понять

Как только возможность выдастся - попробую.

NAT-шлюз у нас на Kerio Winroute построен, только я его тоже плохо знаю, поэтому стараюсь сильно не менять настройки сделанные его знатоком - вот когда изучу, тогда можно будет...

Еще раз спасибо и с наступающим вас НГ!