Hi All
10.17.9.0/24 -- Di808--|
| DFL210-10.17.2.0/24
192.168.0.0/24--RRAS--|

Долго думал, потом всё же решил вынести в отдельную тему. Не могу разобраться с роутингом на Di808.
Di808(10.17.9.0/24) подключён по ipsec к DFL-210(10.17.2.0/24)
Так же имеются сети подключённые к DFL по pptp. Надо сделать что бы бегали пакеты из одной сети в другую? Из 10.17.9.0/24 в 192.168.0.0/24 и обратно
В случае 2х сетей подключённых к DFL используя RRAS - усё работает. Там прописываешь маршрут на dial-demand интерфейс и ок.
Как прописать на di маршрут на сетку которая находится за dfl-210, что выбирать шлюзом? Сообразить не могу, это вообще возможно? Пробовал белый ip DFL - не работает. Как то надо в туннель эти пакеты направить. Лучше объяснить проблему не получается

Вам надо не роутинг прописать (хотя он конечно тоже важен, но сделается автоматом), а указать дополнительную сеть в IPsec со стороны DFL.

Если на DFL вы можете делать группы сетей, то на DI - только одна пара "сеть-маска", поэтому для начала приведите все сети на стороне DFL к единой маске и ее укажите (на обоих девайсах) со стороны DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Нет, сети у меня разные, я не могу их привести к одной маске. Со стороны DFL - lannet, со стороны сети которая соединена через pptp допустим pptp_net, и есть ещё ipsec_net (которая за Di). Надо что бы Di знал что пакеты для pptp_net запихивать в туннель надо, а не пересылать на gw как сейчас получается. Создал группу сетей SegmentsVPN, добавил туда lannet и pptp_net, указал эту группу в настройках туннеля. Не помогает, после реконнекта всё как и ранее.

Чтобы DI "узнал", вам надо указать ему что эта сеть за IPsec со стороны DFL. Если это не сделать, то какие бы маршруты вы не прописывали, трафик туда не пойдет. Однако DI понимает только одну сеть в remote network. Поэтому попробуйте РРТР клиента еще до DFL поднять и пустить, чтоли...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сделал так: отключил канал на di и dfl. Поднял rras клиента на 2003(он у меня за di) и всё заработало как надо. Теперь у меня на pptp сервере dfl 4 клиента и все rras 2003 based Вопрос в след: а это правильно? Или для каждого клиента нужно свой pptp сервер создавать?

Ну и заодно уж спрошу - мне понравилась ваша идея объединить сети в одну папку на dfl и использовать эту папку в правилах. Бяда в том что работает оно не стабильно. Детали: есть pptp сервер, 4 клиента, в дефолтных (из faq) настройках из филиалов виден центральный офис. Теперь надо заставить филиалы видеть друг друга. Правила просты, делаем 9 шт вида:
ист:pptp_server сеть:f1_lan / получатель:pptp_server сеть:f2_lan
ист:pptp_server сеть:f1_lan / получатель:pptp_server сеть:f3_lan
и т.д.
Делаю группу сетей vpnslan, добавляем туда f1_lan, f2_lan, f3_lan, f4_lan, lannet и до кучи pptp_pool добавил в конце
Делаю разрешающее правило: pptp_server/vpnslan pptp_server/vpnslan
Думал заменить 9 правил одним - а не выходит. Судя по логам default rule блокирует пакеты из одной из сетей. А из другой ходят. Хех, как то частично работает Не знаю, может какие то ограничения есть для групп адресов?

Покажите вашу адресацию и как правила написаны.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Уже начал копировать, потом плюнул. С 9 правилами работает и ладно. У меня последний ввопрос - невозможность указать ещё несколько сетей за туннелем это на всех современных мыльницах у dlink? Я серию dir не смотрел пристально, только di.

Возможно только если по маске объединить. Разные сети указать в мыльницах нельзя

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc