Помогите настроить маршрутизацию! Есть два девайса DFL-210 соединённые IPSec туннелем. На каждом поднят IPSec сервер.
Как сделать чтобы VPN клиент подключённый к одному из IPSec серверов мог видеть обе сети за роутерами?
Клиенты - D-Link VPN Client.

У вас клиент подключается к одному DFL и должен видеть сети за обоими DFL? Между DFL есть IPsec?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, между роутерами есть IPSec, всё прекрасно работает. Но клиенты видят только одну сеть за тем роутером, к которому подключены.

создайте NAT правило из серии:
action: NAT
source inf: L2TP_Over_IPSec
source net: Roaming_IP_POOL
dest inf: IPSEC_remote
dest net: Remote_NETS
services: all_tcpudpicmp

Спасибо, у меня сделано такое правило, только не NAT а Allow. Правда нету у меня L2TP. Только чистый IPSec AES 256. Счас попробую поменять на NAT.
Вот ещё - два клиента подключенные к одному IPSec серверу другдруга не пингуют.

Для этого вам нужны правила Allow IPsecIf/all-nets IPsecIf/all-nets с соответствующим сервисом.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

я просто скопировал своё аналогичное правило ) как у вас там удалённый юзверь подключается - не важно, смысл в NAT правиле.

Нет. Не видит клиент сетку за вторым роутером и с NATом тоже.
У меня такие правила на каждом роутере
allow tunnel remoute lan lannet allservices
allow lan lannet tunnel remoute allservices
allow server all-nets lan lannet allservices
allow lan lannet server all-nets allservices
NAT server all-nets tunel all-nets allservices
NAT tunel all-nets server all-nets allservices

server - IPsec сервер
tunnel - IPsec туннель между роутерами

У вас удаленные клиенты по IPsec с какими адресами подключаются? Уберите NAT tunel->server, он все равно работать не будет. В NAT server->tunel установите заменять source адрес например на lan_ip DFL.

Вообще, видимость удаленных клиентов из ваших сетей будет затруднена тем, что они могут быть с произвольными адресами, соответственно роутинга не сделать.

Для четкости попробуйте увести ваших удаленных клиентов в определенную подсеть - тогда будет возможность прописать роутинг на удаленном DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Все клиенты имеют адреса в одной подсети 192.168.0.0. Щас попробую поставить замену адреса на lan_ip. Спасибо.

покажите адресации с масками всех ваших сетей . (обоих удалённых lan , ipsec ит.д)

Один офис 192.168.1.0/24
Другой 10.150.150.0/24
Клиенты 192.168.0.0/24
DHCP на роутерах нет.
Только один роут, добавляеться автоматом - tunnel remoute
Замена адреса не помогает.
Имеет ли смысл сделать правило allow server->server, для того чтоб хотя бы клиенты одного сервера могли друг друга пинговать?

Имеет. Чтобы удаленная сеть за DFL смогла работать с вашими удаленными клиентами, надо на том (удаленном) DFL прописать маршрут до 192.168.0.0/24 на DFL, к которому они подключаются.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

но ведь если правило NAT, то запрос будет выступать от IP(DFL естессно) из сети с которой у удаленно сети тунель (по словам топикстартера) - работает., и ничего кроме это правила и не требуется.
Я думаю у него проблема с ипользованием all-net везде и с порядком правил.
-------
2keen0 - пропишите четко NAT правило не в all-net в а в ту сеть которая удалённая, и поставьте его выше всех остальных правил.

А, так у вас VPN просто IPsec?, а что в качестве "remote_net" в Dlink_vpn клиенте и соотв. в настроках Ipsec_server (local_net) на DFL ?
Вам видимо нужна HUb&Spoke схема.