Создал IPsec туннель между 2 устройствами DFL-800, при попытке что либо выполнить в любом направлении (для удобства DFL-A DFL-b), ничего не проходит. Так при попытке сделать RDP соединение из сети интерфейса lan устройства DFL-A, к устройству в сети интерфейса lan DFL-B этого проделать не удается, а в логах DFL-B появляется строка:

2010-03-23
17:57:59 Warning RULE
6000051 Default_Access_Rule TCP IPsec-test
192.168.16.11 (айпи из сети А)
192.168.26.59 (айпи из сети В) 4541
3389 ruleset_drop_packet
drop
ipdatalen=28 tcphdrlen=28 syn=1

то есть до второго устройства траффик доходит. На самом устройстве DFL-B в самом верху правил создано:

Test111 Allow lan lannet IPsec-test (удалённые адреса) all_services
2 Test222 Allow IPsec-test (удалённые адреса) lan lannet all_services

Меня смущает, что в логах пишется только исходный интерфейс (IPsec-Test). Ну и само собой очень смущает то, что никакой траффик не проходит.

Вы этот лог где взяли - на устройстве А или В? Если второе, то верно - пакет пришел из туннеля.

Вот только в вашем сообщении нет интерфейса-назначения (возможно, вы его затерли) - куда шел пакет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Этот лог на устройстве В (устройство со стороны сети получателя). Интерфейса назначения действительно нет, но не потому что я его не вставил, а потому что именно в таком виде сообщение выводится в лог. И даже создание правила разрешающего доступ на любые интерфейсы-любые сети, с исходным интерфейсом IPsec-TEST не решает проблему (появляются точно такие же строки).

Если зайти в Status->Routes на устройстве B, то в таблице main присутствует нужный маршрут:
192.168.26.0/24 lan 100

У вас нет правил PBR, которые могут перехватывать пакет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

зайдите в свойства ipsec-туннеля, вкладка advanced,
метрика какая стоит ?

_________________
если человек - идиот, то это надолго

Только что перепроверил таблицу правил маршрутизации. Тут только правила регламентирующие трафик исходящий из сети.

При условии, что галочка "Add route for remote network" не стоит (у меня в ручную прописаны маршруты), метрика выставлена в 90.

с какой метрикой ?

_________________
если человек - идиот, то это надолго

Покажите
- все таблицы маршрутизации
- правила PBR
- Status-Routes

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Проблема исчезла после 2 манипуляций:
1) Loacl IP на вкладке Routing был прописан вручную (до этого автоматически присваивался адрес 127.0.0.1, от имени которого и отсылались пакеты)
2) Неправильно была настроена маршрутизация. На устройстве B у меня маршрутизация осуществлялась через PBR. В PBR не хватало ещё одного правила (второго)
1 test2 any (remote_net) any (local_net) all_services
2 TEST1 lan (local_net) any (remote_net) all_services