Помогите с настройкой сети.

Есть три офиса, в каждом есть по DFL-800.
Сеть:
1-й - 10.10.1.0/24
2-й - 10.10.3.0/24
3-й - 10.10.4.0/24

WAN1 на DFL-800 в каждом офисе используется для раздачи интернета.
Сейчас стал вопрос объединения сетей. Провайдер сделал туннель так: на 1-й офис заходит канал на котором VLAN-ами подаются 2-й и 3-й офисы. Этот канал подключен в WAN2 DFL-800 (во всех трех офисах).
Вопрос - как правильно настроить маршрутизацию чтобы в офисах 2 и 3 пользователи видели сеть офиса 1, в из офиса 1 можно было видеть сети 2-го и 3-го офисов.
С чего начинать и в какую сторону копать. Если есть описание подобной схемы - дайте линк.

Благодарю за ответ.

Рекомендую поверх сети провайдера поднять IPsec, хотя если вам не важно, можно и без него.

Все очень просто - прописываете маршруты на соответствующий интерфейс и делаете allow правила wan2<->lan

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Иными словами, порты WAN2 на всех трех DFL находятся в одном, изолированном от всех VLAN'е. Это сделал провайдер своими средствами.

Это именно так или нет?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

на 1-й офис по одному кабелю поданы два туннеля через VLAN-a с 2-го и 3-го офисов

Я думаю, к VLAN 802.1q тут никакого отношения. Многие провайдеры так называют виртуальные сети между абонентами.

По факту на их стороне - это конечно VLAN, но для абонента - просто порт.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

и что это значит и как в таком случае настраивать 800-e dfl-ки ?

Практически при любой архитектуре соединения вам будет достаточно настроить между офисами IPsec по FAQ ftp://ftp.dlink.ru/pub/FireWall/_rus_%2 ... tunnel.pdf

Если вы хотите просто пустить трафик в "VLAN" (без шифрования), то схема аналогична описанной, за исключением того, что вместо IPsec туннеля будет ваш WAN2 + в маршрутах надо будет указывать шлюзом удаленную DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за советы.
Частично заработало.
Поднял IPSec. Опубликовал MAC-адреса в ARP. Между офисом 1 и 3 связь есть и все работает, но вот IPSec между офисами 1 и 2 не поднимается. На маршрутизаторе 2-го офиса в логах есть вот такое сообщение:

29.09.2009 Info IPSEC peer_is_dead
15:14:53 1800317 IPsec_tunnel_disabled
peer=10.10.10.1

29.09.2009 Info IPSEC ike_sa_destroyed
15:14:53 1802708 ike_sa_killed
ike_sa=" Initiator SPI ESP=0x5c3b0ff8, AH=0xe13d27ab Responder SPI "

29.09.2009 Warning IPSEC ike_sa_failed
15:14:53 1802022 no_ike_sa
statusmsg="Timeout" local_peer="127.0.0.1 ID No Id" remote_peer="10.10.10.1 ID No Id" initiator_spi="ESP=0x5c3b0ff8, AH=0xe13d27ab"
29.09.2009 Warning IPSEC event_on_ike_sa
15:14:53 1802715
side=Initiator msg="failed" int_severity=6

Может кто подскажет что это может быть?
Настройки маршрутизаторов офисов 2 и 3 сравнил - идентичные.
Может ли вообще быть подняты одновременно два IPSec тунеля на одном интерфейсе?

Покажите настройки IPsec туннелей.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

На маршрутизаторе №1

# Name Local Net Remote Net Remote Endpoint Auth
1 fwA-ipsec 10.10.1.0/24 10.10.3.0/24 10.10.10.3 PSK
2 fwB-ipsec 10.10.1.0/24 10.10.4.0/24 10.10.10.4 PSK


На Маршрутизаторе №2

# Name Local Net Remote Net Remote Endpoint Auth
1 fwA-ipsec 10.10.3.0/24 10.10.1.0/24 10.10.10.1 PSK

На маршрутизаторе №3

# Name Local Net Remote Net Remote Endpoint Auth
1 fwB-ipsec 10.10.4.0/24 10.10.1.0/24 10.10.10.1 PSK

Укажите для ID тип - IP и адреса на интерфейсах (10.10.10.x)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Адреса wan2 интерфейсов на маршрутизаторах:

1-й = 10.10.10.1
2-й = 10.10.10.3
3-й = 10.10.10.4
Сеть на всех 10.10.10.0/24


а что это и где?
сори за тупости...

В настройках IPsec, на вкладке Auth (помоему).

Ставьте туда те адреса, которые на интерфейсах.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Прописал. ситуация не изменилась. в логах та же ошибка

У вас часом PSK на центральном устройстве не одинаковые?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc