Есть два Dlink DFL-210
Одинаково настроено: Rule, IP Settings, Routibng Tables, Interface.
Оба DFL-210 пингуют друг друга и трассирую маршрут

НО!
Сетка видна только с одной сотроны, раздел подключения Destination - VPN:

Здесь видно:
State Proto Source Destination Timeout
TCP_OPEN TCP lan:192.168.100.32:2264 fwA-ipsec:192.168.0.45:445 262117
UDP UDP lan:192.168.100.32:2226 fwA-ipsec:192.168.0.45:1053 129

Здесь нет:
State Proto Source Destination Timeout
UDP UDP lan:192.168.0.45:1053 fwB-ipsec:192.168.100.32:2226 130

Я так понимаю разница в TCP_OPEN, где это профиксить?

P.S.
Rules
1 allow_all Allow lan lannet fwA-ipsec fwA-remotenet all_services
2 allow_all Allow fwA-ipsec fwA-remotenet lan lannet all_services

Routing tables
1 Switch Route wan wannet 100 Transparent mode enabled for network wannet over interface wan.
1 Route fwA-ipsec fwA-remotenet 90 No Direct route for network fwA-remotenet over interface fwA-ipsec.
2 Switch Route lan lannet 100 Transparent mode enabled for network lannet over interface lan.
2 Route szt all-nets 70 No Direct route for network all-nets over interface szt.
3 Route wan all-nets wan_gw 100 No Default route over interface wan.
4 Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.

_________________
new day - good day.

Что у вас за switch route? Вы используете transparent mode?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

switch route - правила роутинга созданное DFL
transparent mode - вкл.

_________________
new day - good day.

Вам этот transparent mode нужен? Вы не думаете что из-за него не работает?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Выключил transparent mode - результат тот же.

Routing tables:

# Type Interface Network Gateway Local IP address Metric Monitor this route Comments
1 Route office-mail fwB-remotenet 90 No Direct route for network fwB-remotenet over interface office-mail.
2 Route wan all-nets wan_gw 100 No Default route over interface wan.
3 Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
4 Route wan wannet 100 No Direct route for network wannet over interface wan.
5 Route lan lannet 100 No Direct route for network lannet over interface lan.

Connections:

работает
State Proto Source Destination Timeout
TCP_OPEN TCP lan:192.168.100.32:3796 fwA-ipsec:192.168.0.45:445 262122
SYNACK_S TCP lan:192.168.100.32:3797 fwA-ipsec:192.168.0.45:139 26

не работает:

State Proto Source Destination Timeout

SYNACK_S TCP office-mail:192.168.100.32:3797 lan:192.168.0.45:139 23

TCP_OPEN TCP office-mail:192.168.100.32:3796 lan:192.168.0.45:445 262118

_________________
new day - good day.

Покажите Status > Routes

Запустите ping -t в удаленную сеть и посмотрите в Status > Connections - куда идет пакет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Status > Routes
Flags Network Interface Gateway Local IP Metric
255.255.255.248 wan 100
192.168.100.0/24 fwA-mail 90
172.17.100.0/24 dmz 100
192.168.0.0/24 lan 100
0.0.0.0/0 wan x1x.xxx.x6x.x5x 100

Status > Connections
С указанным адресом только одна строчка
State Proto Source Destination Timeout

TCP_OPEN TCP office-mail:192.168.100.32:3796 lan:192.168.0.45:445 262114

Такое ощущение, что обращениея - drop
В логах на этот адрес тоже пусто

_________________
new day - good day.

Status > Connections (с текущего адреса)

State Proto Source Destination Timeout
FIN_RCVD TCP lan:192.168.0.27:4125 core:192.168.0.37:443 79
UDP UDP lan:192.168.0.27:1965 wan:81.9.64.67:53 25
FIN_RCVD TCP lan:192.168.0.27:4119 core:192.168.0.37:443 76
TCP_OPEN TCP lan:192.168.0.27:3447 wan:95.158.195.189:5938 262093
TCP_OPEN TCP lan:192.168.0.27:3301 wan:94.241.2.169:5938 258776
TCP_OPEN TCP lan:192.168.0.27:3193 wan:85.25.144.204:5938 262144
FIN_RCVD TCP lan:192.168.0.27:4121 core:192.168.0.37:443 77
FIN_RCVD TCP lan:192.168.0.27:4100 core:192.168.0.37:443 30
UDP UDP lan:192.168.0.27:4086 wan:81.9.64.67:53 45
UDP UDP lan:192.168.0.27:4087 wan:81.9.64.67:53 45
UDP UDP lan:192.168.0.27:4088 wan:81.9.64.67:53 45
UDP UDP lan:192.168.0.27:4089 wan:81.9.64.67:53 45
FIN_RCVD TCP lan:192.168.0.27:4123 core:192.168.0.37:443 78
UDP UDP lan:192.168.0.27:4092 wan:81.9.64.67:53 53
FIN_RCVD TCP lan:192.168.0.27:4094 core:192.168.0.37:443 5

FIN_RCVD TCP lan:192.168.0.27:4096 core:192.168.0.37:443 24
FIN_RCVD TCP lan:192.168.0.27:4098 core:192.168.0.37:443 26
UDP UDP lan:192.168.0.27:4107 wan:212.5.89.12:7022 110
FIN_RCVD TCP lan:192.168.0.27:4109 core:192.168.0.37:443 71
FIN_RCVD TCP lan:192.168.0.27:4111 core:192.168.0.37:443 72
FIN_RCVD TCP lan:192.168.0.27:4113 core:192.168.0.37:443 73
FIN_RCVD TCP lan:192.168.0.27:4115 core:192.168.0.37:443 74
FIN_RCVD TCP lan:192.168.0.27:4117 core:192.168.0.37:443 75
TCP_OPEN TCP lan:192.168.0.27:4127 core:192.168.0.37:443 262144

81.9.64.67 - провайдер
Удалённого адреса нет.

_________________
new day - good day.

Причем на другом конце куда направлен пинг:

State Proto Source Destination Timeout
TCP_OPEN TCP lan:192.168.100.32:3796 fwA-ipsec:192.168.0.45:445 262128

т.е. коннект есть.

_________________
new day - good day.

Покажите плиз схему, с какой стороны и какие адреса, на каком из устройств какие данные

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вот схема
http://imglink.ru/show-image.php?id=202 ... 9d64ee24fb

Адрес DynDns на данный момент 78.3x.226.184

Тоннель поднимается только из А в В
С обоих сторон, после поднятия тоннеля всё пингуется и трассируется, правила только стандартные, никаких доп режимов.
На конце В подключал другие ПК, результат =0

Правила
# Name Action Src If Src Net Dest If Dest Net Service
1 ping_fw Allow any all-nets lan all-nets ping-inbound
2 lan_to_wan (по умолчанию)
3 ipsec-rule (по сценарию)


Таблица маршрутизации
# Type Interface Network Gateway Local IP address Metric Monitor this route Comments
1 Route office-mail fwB-remotenet 90 No Direct route for network fwB-remotenet over interface office-mail.
2 Route wan wannet 100 No Direct route for network wannet over interface wan.
3 Route wan all-nets wan_gw 100 No Default route over interface wan.
4 Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
5 Route lan lannet 100 No Direct route for network lannet over interface lan.

Статус подключений
State Proto Source Destination Timeout
TCP_OPEN TCP lan:192.168.0.45:2471 wan:109.184.87.11:5938 247856
TCP_OPEN TCP lan:192.168.0.45:2509 wan:91.77.123.111:5938 250519

В логах с того же адреса пусто.
[/img]

_________________
new day - good day.

Покажите Status > Routes на обоих DFL

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сторона В
Flags Network Interface Gateway Local IP Metric
255.255.255.248 wan 100
192.168.100.0/24 fw-ipsec 90
172.17.100.0/24 dmz 100
192.168.0.0/24 lan 100
0.0.0.0/0 wan 81.9.67.xx 100

Сторона А
Flags Network Interface Gateway Local IP Metric
255.255.255.251 wan 100
192.168.0.0/24 fw-ipsec 90
172.17.100.0/24 dmz 100
192.168.100.0/24 lan 100
0.0.0.0/0 szt 70
0.0.0.0/0 wan 78.36.224.xx 100

_________________
new day - good day.

попробуйте убрать

_________________
если человек - идиот, то это надолго

В смысле убрать? этож бридж на модем. Темболее с этой стороны сети тоннель поднимается и работает. Если убирать правила на модем, то соотвественно отвалиться и интернет или не так? Я конечно попробую, но меня терзают смутные сомнения.

_________________
new day - good day.