Да

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

IPSec запустились.
Но с одного IPSec не могу попасть на второй.
Настройки IPSec на центральном DFL-260 192.168.10.2
Name: filial 1
Local Network: all-nets
Remote Network: 192.168.100.0 /24
Remote Endpoint: 192.168.21.65
Encapsulation mode: Tunnel
IKE Config Mode Pool: (None)

Настройки IPSec на филиальных DFL-260 192.168.21.65
Name: to_office
Local Network: lannet
Remote Network: 192.168.10.0 /24
Remote Endpoint: 192.168.21.4
Encapsulation mode: Tunnel
IKE Config Mode Pool: (None)

Также настроено правило, которое разрешает любой трафик между любыми сетями
Allow_all Allow any all-netsAddress: 0.0.0.0/0 any all-netsAddress: 0.0.0.0/0 all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
С филиала пингую lan интерфейс центрального DFL-260 192.168.10.2. Пинг есть.
Затем из одного филиала пингую lan интерфейс флугого филиала 192.168.100.1. Пинга нет.
Как настроить DFL, чтобы из одного IPseс в другой ходил трафик?

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

Нужна помощь

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

На филиальных DFL выставьте remote network 192.168.0.0/16, только lan'ы более приоритетными сделайте

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Не понятно.

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

Абсолютно аналогичная ситуация, только в моем случае все DFL-800. Так же имеется куча филиалов и центр, все по IPSEC. Задача чтобы филиалы видели друг друга. Попробовал поставить remote network 192.168.0.0/16, но логично это ни к чему не привело. Что-то еще на центральном прописать надо?

>Не понятно.
Что именно вам не понятно? Для IPsec есть понятие ACL - разрешенные сети. Пока вы не расскажете какой трафик может ходить по туннелю, хоть десять раз заверните его туда - все будет бестолку

>Что-то еще на центральном прописать надо?
Allow-правила между туннелями

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

>Что-то еще на центральном прописать надо?
Allow-правила между туннелями[/quote]

В том-то и проблема, что прописан Allow.
Судя по соединениям, когда с одного филиала пингуешь другой, пакеты уходят в нужном направлении (через туннель), но на центральном их не видно.

Allow IPSec-Lan-Group all-nets IPSec-Lan-Group all-nets all_services

В IPSec-Lan-Group все тунели + lan, такие правила прописаны на всех DFL

>Судя по соединениям, когда с одного филиала пингуешь другой, пакеты уходят в нужном направлении (через туннель), но на центральном их не видно.
ACL! Покажите параметры IPsec удаленного

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я может чего-то не понимаю, но ACL это что?
Параметры IPsec удаленного:
Локлаьная сеть: 192.168.4.0/24
Удаленная сеть: 192.168.0.0/16

Да, это оно. На центральном local net тоже 192.168.0.0/16?
Ваша проблема в первую очередь похожа на ACL, во вторую на косяки с правилами, в третью - косячный роутинг

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Поменял lannet на центральном на 192.168.0.0/16 и все заработало, danilovav спасибо за помощь.

Проверю сегодня у себя.

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

А разве это нормально, что сети перекрываются? Из сети 192.168.0.0/16 вообще ничего никуда маршрутизироваться не будет, любое сетевое устройство будет считать, что адреса 192.168.4.0/24 находятся где-то локально.

А для этого существуют метрики (приоритеты маршрутов)