Помню как-то читая этот форум, наткнулся на такую идею: IPSec, у которого Remote Network должен был быть all-nets. но у автора был dfl и dir или di, не помню... так и не смог найти тот топик.
У меня ситуация немного иная, в том числе на вооружении DFL-800 и DFL-210. Сейчас между lannet-ами DFL-ок работает IPSec с PSK, в tunnel mode.
На wan2 у DFL-800 висит провайдер, у которого естественно all-net. На dmz у DFL-210 висит еще одна сеть, с адресами 10.0.0.0/8. IPSec поднят между wan1 на DFL-800 и wan на DFL-210.
Нужно чтоб для lannet за DFL-210 был доступен lannet за DFL-800 (как и сейчас) + интернет с wan2 за DFL-800. У lannet за DFL-800 в свою очередь должно быть доступ в lannet за DFL-210 (как и сейчас) + сеть 10.0.0.0/8 на dmz (DFL-210).

Попробовал прописать правила allow для этих сетей и добавить маршруты на ipsec. не заработало. Сейчас эта конструкция работает за счет pptp, но хочется изящества.

Еще такой момент, на DFL-800 работает мониторинг маршрутов в интернет (если на wan2 провайдер падает, то весь трафик идет через wan1), но в IPSec трафик в интернет должен идти только через wan2.

И еще небольшой вопрос по IPSec. На сколько я понял, можно на DFL поднять один IPSec-тунель, без Remote Endpoint и Remote Network. Т.е. чтоб несколько пользователей, как в случае с pptp могли подключиться к DFL. Если это возможно, как это сделать?

p.s. тут еще такой момент, планируется переход к провайдеру у которого вырезан pptp, gre, l2tp с корнями...

Указывайте в вашем IPsec со стороны 800го не конкретную сеть, а all-nets, отключайте автороутинг на него и прописывайте маршруты руками. Более точно сложно сказать, нарисуйте схему.

IPsec завершуть только в WAN2 можно при помощи PBR и альтернативной таблицы маршрутизации.

Один (динамический) Ipsec сделать можно, но по факту это большая проблема по безопасности имхо.

По поводу провайдера - GRE насколько я понимаю не нужен для IPsec, а все остальное у вас накроется. Там использовать только single-connect решения типа OpenVPN или SSL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А можно поподробней, или носом ткнуть в инструкцию? Предположим если создать какую-н. виртуальную зону или vlan, в который загонять клиентов ipsec, так полагаю безопасней?


openVPN - да, работает, но совершенно не хочется гонять сервер, учитывая, что openVPN не очень надежен, да и на сервере довольно небезопасно.

p.s. попробую изобразить, но пока не знаю куда выкинуть.

Инструкций как таковых нет, опишите что вы хотите получить.

По поводу нового провайдера - попробуйте на нем IPsec, заработает или нет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В общем как-то так должно выглядеть. С поправкой на то, что IPSec туннель желательно иметь один, между DFL-210 и DFL-800.
http://northland.norcom.ru/dflview.JPG

Что касается второго вопроса, про динамический IPSec, возможно недопонимание. нужно не что бы один из endpoint-ов меняя IP-адрес мог всегда прицепиться к другому, а чтобы несколько разных endpoint могли прицепиться к одному IPSec. На самом деле в итоге хочется получить вот такую конструкцию http://www.citforum.ru/nets/articles/tap_bridge/
Только без OpenVPN, используя IPSec с одним центральным DFL и несколькими клиентами на Windows, которые смогут пропустить в IPSec по устройству находящееся на отличном ethernet-контроллере от того, на котором будет IPSec. Жутковатая конструкция, но интересно реализовать, если такое вообще возможно.


По отзывам, работает. Возможности самостоятельно проверить пока нет, но хочется изучить вопрос заранее.

По вашей картинке - есть 2 DFL, у одного 2 внутренние сети, у другого 1. Вам надо настроить видимость между ними?

Все очень просто - один IPsec, сети local/remote all-nets, отключайте авто роутинг на VPN и руками добавляйте маршруты и (соответственно) allow правила. Все будет работать без проблем.

По поводу единой сети "на втором" уровне (по статье) - вы не по адресу с софтовыми решениями. Коли у вас в офисах есть DFL, делаете на них IPsec и все будет работать без какого либо затрагивания клиентских машин, что гораздо проще.

Если же вам надо будет подключать удаленных единичных клиентов (с учетом нового провайдера), то используйте L2TP over IPsec (пример есть на FTP).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc