Вы имеете ввиду сделать видимость между сетями за DI?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

я нахожусь за Dl, а за DFL 192.168.0.0/24, так вот мне нужен доступ к этой сети, полноценный, включая ICMP

Перестройте ваши IPsec на сеть 192.168.0.0/16 со стороны DFL - тогда в тоннель пойдет нужный вам трафик - это основное условие решения вашей задачи
Чтобы его разрешить правилами, на DFL сделайте необходимые allow правила

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

т.е мне нужно только в настройках ipsec на dfl-210 и dl-80hv поменять маску на 255.255.0.0 и все?
менять маску у всех пользователей в этих подсетях надеюсь не нужно?

Вот правила Ipsec
1 IPSec_to_lan Allow Tunnel IPSec_remote_net lan lannet all_services
2 lan_to_IPSec Allow lan lannet Tunnel IPSec_remote_net all_services
3 allow_ping_ipsec Allow Tunnel IPSec_remote_net lan lannet all_icmp
4 ipsec_core_lan Allow Tunnel IPSec_remote_net core lannet all_services


lan_ip 192.168.68.168
lannet 192.168.68.0/24

нужен доступ на удаленный рабочий стол компа 192.168.68.68, для этого я создал в объектах данный айпи, но что не хватает у меня в правилах? или может нужно просто в таблице маршрутизации каким-то образом прописать машрут типа

lan_ip lannet 192.168.68.68 110

По идее - все верно, ваше подключение разрешается правилом IPSec_to_lan. Проверьте, что файрвол на компьютере не блокирует подключения. Запустите постоянный пинг на 68.68 и смотрите на DFL в Status > Connections - есть пакеты?

Однако - покажите полные настройки IPsec, правил, маршрутов, Status > Routes и адресацию на DFL и настройки на DI - возможно есть ошибка.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Флаги Сеть Интерфейс Шлюз Локальный IP-адрес Метрика
DA 10.15.20.14 ChP168 0
DA 10.15.20.223 ChP168 0
192.168.100.0/24 Tunnel 90
192.168.68.0/24 lan 100
0.0.0.0/0 DomRU_wan 80
0.0.0.0/0 DomRu_dmz 90
0.0.0.0/0 wan 100
0.0.0.0/0 dmz 100

главное то, что по ipsec спокойно захожу на dfl-210 по его lan_ip 192.168.68.168 и он пингуется..... а вот все остальные айпишники в 68-й подсети недоступны....
я же не могу у всех в 68-й поменять маски 255.255.255.0 на 255.255.0.0

может правильней будет прописать маршрут типа 192.168.68.0 255.255.255.0 192.168.68.168 110

подскажите спецы dfl, экспериментировать не могу бесконечно, т.к. на dfl-210 сидят клиенты и какие-либо сбои отражаются на них

Напомните - DFL в 68 сети шлюз?

У вас на wan и dmz дефолтные маршруты - они нужны? Я не вижу реально дефолтного маршрута (для интернета).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

lan_ip 192.168.68.168

два РРРОЕ соединения, на wan и dmz соответственно, по умолчанию маршруты до 0.0.0.0

0.0.0.0/0 DomRU_wan 80
0.0.0.0/0 DomRu_dmz 90

Туннель с метрикой 90, при этом дефолт-роут с метрикой 80 - ессно не будет работать
Сделайте туннель, например, 70.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

не совсем понял вашу мысль...
у меня поднято два тунеля ррое на wan и dmz, соответственно два канала инета.
ipsec настроен через wan, если у тунеля на wan метрика 80, а у тунеля ррое на dmz метрика 90, то в любом случае приоритет тунеля по wan, т.к. метрика его меньше... и не важно сколько 80, 70 или 40.... главное, что метрика меньше, соответственно приоритет выше маршрута

Вы писали выше

Что из вышеприведенного физические интерфейсы, а что - РРРоЕ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

физические интерфейсы по умолчанию lan, wan, dmz
DomRU_wan и DomRu_dmz - ррpое до провайдеров
Tunnel - ipsec

проблема стала еще более актуальной, поясните пожалуйста по поводу вашего последнего поста