Приветствую.
D-link DI-808 стоит в центре. На нем настроен Dynamic VPN (параметры туннеля заданы как в faq: http://dlink.ru/ru/faq/92/499.html). На других концах есть D-link`и 808-804 или Cisco 851. Все работает.

Теперь вопрос: можно ли заставить D-link маршрутизировать трафик между подключенными подсетями? Т.е. пинг между центром и филиалами проходит, а между филиалами - нет.

Если нужно привести какие-нибудь настройки или логи, с удовольствием это сделаю.

Приведите пожалуйста как можно подробнее настройки VPN туннеля на устройствах.

На д-линках-парах пробовал ставить удаленную подсеть 192.168.0.0 mask 255.255.0.0 - не помогает. Пинги не ходят ни между удаленными цисками, ни между удаленными d-link-cisco. От центра к пирам все нормально.

D-link в центре:
http://krilov.net/dlink/center.jpg

D-link peer :
http://krilov.net/dlink/peerdlink.jpg


Cisco:
===========================
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname msk1
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 la-la-la
!
aaa new-model
!
!
!
!
aaa session-id common
!
!
dot11 syslog
!
!
ip cef
ip inspect name VPN tcp
ip inspect name VPN udp
ip inspect name VPN ftp
ip inspect name VPN http
ip inspect name VPN icmp
ip domain name msk
ip name-server DNS2
ip name-server DNS2
!
!
!
username la-la-la
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key la-la-la address CENTER-IP
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5 periodic
!
crypto ipsec security-association lifetime seconds 600
!
crypto ipsec transform-set set1 esp-3des
!
crypto map dlink 10 ipsec-isakmp
description Dlink cryptomap policy
set peer CENTER-IP
set security-association lifetime seconds 300
set transform-set set1
set pfs group2
match address IPSEC_list
!
archive
log config
hidekeys
!
!
ip ssh authentication-retries 2
ip ssh version 1
!
!
!
interface FastEthernet0
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
ip address WAN_IP 255.255.255.248
ip inspect VPN in
ip inspect VPN out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map dlink
!
interface Vlan1
ip address 192.168.55.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 DEFAULT-ROUTER
!
no ip http server
no ip http secure-server
ip nat pool NAT_Pool WAN_IP WAN_IP netmask 255.255.255.248
ip nat inside source list NAT_list pool NAT_Pool overload
ip nat inside source static tcp 192.168.55.3 80 WAN_IP 80 route-map nonat extendable
!
ip access-list extended IPSEC_list
permit ip 192.168.55.0 0.0.0.255 192.168.0.0 0.0.255.255
ip access-list extended NAT_list
deny ip 192.168.55.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 192.168.55.0 0.0.0.255 any
!
route-map nonat permit 20
match ip address NAT_List
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password 7 la-la-la
transport input ssh
!
scheduler max-task-time 5000
end
=======================

DI вы не можете заставить маршрутизировать таким образом трафик. С такой задачей может стравиться только если везде установить DFL. Так же подобную ситуацию можно попробовать реализовать на DIR-130/330, т.к. они позволяют указать несколько удаленных сетей в одном тоннеле (типичная схема hub and spoke), но производительности этих устройств при большом колличесте тоннелей может прото не хватить.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Понял, спасибо. Так и думал.