Имеется следущее: IPSEC тунель между DFL800 и DI808 настроенный и все работает прекрасно. НО мне нужно чтобы с DFL800 заходить с двох интерфейсов с LAN , DMZ. В этих сетях разные подсетки как настроить чтобы можно было выходить с них ?
На DI я создал еще 1 тунель уже указав в качестве удаленной сетки - DMZ, но результата нету. И логи ничего не пишут не в DI не в ДФЛе чемпроблемма и как ее решить.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

Если возможно объединить lannet и dmznet по маске, объединяйте и используйте как сеть со стороны DFL.
Если нет, то делайте NAT dmz->ipsec, но тогда будет односторонняя видимость.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

LAN 192.168.0.* второй интерфейс через VLAN 192.168.6.* маска 255.255.255.0 в обоих случаях.
У уже попробовал создать второй аналогичный тунель на DFL, но с параметрамы 192.168.6.* - не подымается.
Интересно если на DI задать маску 255.255.0.0 что будет?? В приинципе тогда мои обе сеткиисходя из маски должны попасть.

Попутно хотел еще такой вопрос задать : у меня есть 2WAN можно заставить чтобы через WAN2 подымался тунель ?

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

WAN2 не получится т.к. у DI всего один канал.

А вот с маской 255.255.0.0 (на DFL это будет /16) - запросто, только не забудьте Allow-правила для DMZ.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я имел в виду с DFL c WAN2. В резутьтате чтобы получилась схема: 2 IPSEC тунеля (я к стати прописал 2 штуки на DI и DFL) и LAN ходит через IPSEC тунель ->Wan1. DMZ ходят через IPSEC тунель который работает через WAN2

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

danilovav спасибо за ПОДДЕРЖКУ, действительно "игра" с масками помогла все работает.
И всеже интересен вопрос как заставить подыматься тунели с разных интерфейсов- дело так сказать спортивного интереса.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

На DFL два разных интерфейса, но на DI - один адрес, поэтому вы и не разведете туннели по интерфейсам. Не будет работать, проверено. Маска более правильно или если надо 2 туннеля, ставьте вместо DI DFL-210 и делайте там 2 канала.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Danilov, вы меня не поняли
Ну поставлю задачу так :
Без привязки в вышеупомянтым всем моим вариантам, все сброшено в дефаулт и мне нужно настроит IPSEC DFL-DFL, у меня есть 2 провайдера которые я завел на WAN1 и WAN2, я создал IPSEC тонель, допустим согласно FAQ который у меня конектится через WAN1 где мне указать чтобы он конектился через WAN2, в настройках тунеля который я просмотрел нету указания через какой интерфейс ему конектится. Вот в чем вопрос : как заставить законектится через WAN2 IPSEC c DFL, все предыдущие посты с информацией отбрасываем.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

Пропишите статический маршрут в main, только такой вариант. PBR не действуют на исходящие от самого DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да действительно, сегодня отказал канал WAN1, маршруты переключились но IPSEC нет. Подскажите в таблице маршрутизации какуказать кудой выходить в таблице я не могу найти таких параметров.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

Просто делаете статический маршрут, interface - нужный WAN, network - IP удаленного DFL, metric приоритетный (например 1).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Так в тунеле Interface название тунеля , если изменить(Wan1 ,2) то насколько я понимаю будет асоциация маршрутов для Wan. Как вариант можнотолько удалить полностью из основной таблицы и прописать например в main2, где Wan2 имеет меньшую метрику, может тогда оно и пойдет через Wan2

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

Вы мне кажется все перепутали. Вам что надо - пустить определенный IPsec через определенный WAN?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Хочу запустить тунель IPSEC через WAN2, WAN3.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

Нельзя "отправить" определенный туннель через какой-то интерфейс, можно зароутить весь трафик до remote enpoint'а этого туннеля через определенный интерфейс. Для этого надо сделать статический приоритетный маршрут. Понятно?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc