Опишите подробно вашу топологию. Какие DFL, со сколькью рабочими каналами. Для каких целей. Лучше схемкой.

А потом распишите по пунктам, что работает, а что - нет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Топология "звезда".
В центре (головной офис) - DFL-860E, lan - 192.168.3.0/24, dmz - 172.17.100.0/24, wan1, wan2.
На dmz у него почтовый и одновременно веб-сервер 172.17.100.253.
На wan1 - провайдер, которого предполагается использовать только для почты, доступа на веб-сайт извне и изнутри, доступа в интернет.
На wan2 - провайдер, которого предполагается использовать только для организации VPN (ipsec).
В 2 филиалах используются DFL-210 (192.168.4.0/24, 192.168.5.0/24). По wan они подключены к тому же провайдеру, что и wan2 DFL-860E в головном офисе. Этот канал используется для организации VPN с центром и доступа в интернет.
В VPN завернуты dmz и lan-трафик (со стороны DFL-860E они объединены в группу) с головного офиса - чтобы иметь доступ к общим ресурсам и почтовому серверу центра.

Требуется направить ipsec-трафик в филиалы со стороны DFL-860E только по wan2, так как провайдер один и скорость получается максимальная. Со стороны DFL-210 вроде бы все понятно - канал один, удаленной конечной точкой просто указываем wan2 DFL-860E.
При применении схемы со статическим маршрутом на группу адресов удаленных офисов через wan2, как я понимаю, идет абсолютно весь трафик, не только ipsec.
В результате получаем следующее - в принципе, все работает, трафик идет по wan2, но:
1. Недоступны DFL-210 по внешнему ip, хотя в удаленном управлении соответствующие правила есть. Доступ есть только по внутренним адресам через VPN. Нужно иметь доступ по внешке на случай падения туннеля.
2. Недоступен сайт компании (который в dmz) из удаленных офисов. Вопрос, понятно, принципиальный. Почта, однако, работает без проблем.
Трафик по обоим пунктам отбрасывается по Default_Rule, пример я приводил выше.

С общим описанием понятно. Вопросов пока нет.

Что значит недоступны? откуда недоступны?

Тут все понятно. Обращение идет по wan1, центральный DFL отвечает по wan2. В результате не работает. Надо настроить PBR.

Пример здесь. http://forum.dlink.ru/viewtopic.php?t=65359&start=14

Он для dmz, но логика построения аналогична.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1. Недоступны по http/https, по wan_ip удаленного офиса из центра.

Вот сейчас пробовал реализовать ipsec через wan2 посредством PBR. В итоге заработало, но не совсем так, как хотел.
Сейчас выложу скрины и опишу.

Создал альтернативную таблицу маршрутизации alt, Ord - only.
В ней прописал 3 маршрута с метрикой 80 - основной по wan2 и два до удаленных офисов.
Далее, сделал правило маршрутизации
Name: ipsec-suite
Forward routing table: main
Return routing table: alt
Service: ipsec-suite
wan2\all-nets
core\all-nets
При понижении метрики на wan2 в таблице main - туннели поднимаются именно по wan2, это видно из логов:

В local_peer именно wan2_ip.
Но! Не работает интернет в головном офисе, и удаленные DFL не отвечают на пинги. При понижении метрики на wan1 все наоборот - туннели умирают (из логов видно, что идет попытка создать его с wan1), интернет появляется.



В общем, где-то я ошибаюсь, где - не могу понять. Или вообще не в ту сторону понесло, от статических маршрутов.

Тут где-то ошибка в правилах. Скорее всего просто не разрешен доступ из центрального офиса через wan2

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Нет, исключено. Доступ разрешен.
Отказ в доступе отдает DFL-860E:

Как только отключаю статических маршрут через wan2_gw на удаленные сети, доступ открывается.
Я думаю, может быть это из-за того, что HTTP-HTTPS на удаленную сеть теперь идет через wan2, а разрешающего правила для выхода из lan с wan2 нет? Хотя, ведь я хотел, чтобы весь интернет шел через wan1/

Я не очень понимаю, для чего вы это затеяли. Поэтому пока отложите это.

В любом случае, решение тех 2-х проблемок, о которых вы говорили, я описал.


Это однозначно подтверждает, что у вас на DFL-860E нет разрешающих правил.

Вот это верно. О чем я и говорил.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я сейчас сделал по вашей ссылке PBR, доступ на сайт из филиалов заработал.
Осталось решить проблему доступа DLF-210 по их wan_ip.

Да, заработало.
Но получается немного странно - весь интернет через wan1, а эти 2 сети - через wan2. Я-то думал все через wan1 сделать.

Мне, вообще, кажется логичнее ходить во все сети 2-го провайдера через wan2, а не только до 2-х дочерних офисов.
Но если, по каким-то причинам, для вас это принципиально, можете этого добиться с помощью PBR.

Я бы на перспективу обозначил вам такую задачу:
1. Отказоустойчивость как доступа в инет, так и IPseс при падении одного из 2-х каналов главном офисе.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Странно, выпускающие правила для 2 удаленных сетей сделал - а по внешке пускает только в одну, в логах с обоих сторон чисто, на 860 пишет, что соединение установлено.


Про PBR так и подумал, хотя это не принципиально.
В общем, согласен, подумываю про отказоустойчивость - просто хочется последовательно разобраться, начиная с более простой задачи.
Плюс дело в том, что первый канал довольно узкий, у нас часто передаются тяжелые файлы, да и пара десятков rdp-сессий дает существенную нагрузку. Хотя, конечно, как резерв на пару часов - сойдет.

Так и не могу побороть удаленное управление для второго 210го. Самому смешно, но - разрешающие правила на стороне 860 для выхода lan-wan2 есть, удаленное yправление с сети wan2 на 210 тоже прописано. Через wan1 до указания статического маршрута все работало.
Что это может быть?

Разобрался - проблема была в маршрутизации.

В общем, практически все, чего хотел добиться на данном этапе - заработало. Огромное спасибо Вам, Юрий.
Есть еще пара вопросов.

1. Все-таки что за странность может быть с загрузкой устройства до 30-35% в состоянии покоя? Понятное дело, какую-то нагрузку может давать веб, почта в DMZ, но вряд ли 30%. Когда я использовал вместо 860го 210й, загрузка в пиковые моменты была ну может 40%, в покое вообще единицы процентов.
Лишние правила все убраны, маршрутизация вроде бы настроена. Перепрошиться с 2.27.03.25 на что-то повыше для начала?

2. Можете ли порекомендовать какие-либо тонкости для увеличения производительности ipsec-туннеля? Я сейчас поигрался значением plaintext-mtu, при выравнивании его с mtu на wan2 (1500) эталонный файл прокачивался через туннель примерно на 20-25% быстрее, нежели со стандартным 1420. Когда включил High-алгоритмы по Вашему же совету - действительно, скорость стала еще чуть выше (процентов на 10), нежели без шифрования.