Добрый день!

Задача - требуется подключить по VPN удаленный офис.
Провайдер предоставил канал

В основном офисе - шлюз провайдера сидит в сетке 192,168,81,0/24 с адресом 192.168.81.1
В удаленном офисе - сеть 10.42.62.0/24 и шлюз провайдера также на первом адресе.

Основная сеть центрального офиса - 192.168.0.0/24

Что сделано.
1. В адрес буке определены
lan81_ip - 192.168.81.240 - адрес DFL в сети 81
lan81_gw - 192.168.81.1 - адрес шлюза провайдера
lan81_network - 192.168.81.0/24
KRS_network - 10.42.62.0/24 - удаленная сеть.
lan0_net - 192.168.81.0/24 - основная наша сеть

В интерфейсах ARP сделан publish lan81_ip

В правилах добавлено 2 правила
1. From_krs allow srcif lan srcnet KRS_network dstif LAN dstnet lan0_net
2. To_krs allow srcif lan srcnet lan0_net dstif LAN dstnet KRS_network

Также в маршрутах
создано следующее:
1.
iface lan
network KRS_network
gw lan81_gw

2.
iface core
network KRS_network
gw lan81_gw


Что в результате?
с компьютера внутри основной сети
ping 192.168.81.1 - Пингуется
ping 10,42,62,1 - не пингуется

В какую сторону копать? МНе кажется, что я с маршрутами что-то не то сделал. Как написать правильно?

Заранее спасибо за помощь.

Вам для "соединения" сетей приходит отдельный шнурок от провайдера? Есть куда его в DFL воткруть на отдельный интерфейс?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

ннарисуйте схему со всеми адресами плиз

_________________
если человек - идиот, то это надолго

Да, от другого провайдера


Физически - да, но он приходит к нам в соседнее здание (на трубу, если быть точным) и в маршрутизатор попадает уже в общей сети, поэтому его запихать на DMZ не очень хочется, да и для других целей интерфейс DMZ планируется.

а сеть 10.42.62.0/24 про вашу 192ю знает?, что вообще там настроено вам известно? (вы из сети 192.168.0.0\24 пингуете?)

Тогда - вы начали правильно

> В адрес буке определены
Тут все верно, только не очень понятно что точно в lan0_net ?

> В правилах
Тут можно упростить до allow lan/all-nets lan/all-nets

> Также в маршрутах
А вот тут - первый маршрут верный, а второй - нет
Вместо него надо сделать
lan lan81_network no-gw 0
core lan81_ip no-gw 0

По поводу "знает или не знает" - если там также (через шлюз), то все без проблем.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

192.168.0.0/24 - основная сеть


Я в предыдущем посте не писал - это сделано.
81 сеть пингуется
То есть
ping 192.168.81.1 - ответ дает.
А мне нужен доступ в 10.42.62.0/24
ping 10.42.62.1
Превышен интервал ожидания.

Как я понимаю,
Это маршрут в 81 сеть, а не в 10.42.62.0

Кстати, я еще вот чего думаю -
шлюз провайдера 192.168.81.1 получает пакеты от адресов
192.168.0.Х, но от хоста 192.168.81.240
Я же там не NAT делаю.
Может быть, еще провайдера подключить надо?
Не может ли быть ситуации, что их вышестоящий маршрутизатор, получая пакеты для 192.168.0.3, например, не знает, куда эти пакеты девать, и не присылает их на DFL?

В общем, я в своем предыдущем сообщении оказался прав.
Договорились с провайдером, что он туда 1 реальный IP выдаст, а мы уже DIR-130 поставим.

Всем спасибо за помощь, как закрыть тему?

Да, это именно маршрут в 81 сеть - мы же делаем дополнительный адрес на LAN.

Запустите ping -t и смотрите Status-Connections и логи, что происходит.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc