Здравствуйте. Помогите пожалуйста определиться со схемой и необходимым оборудованием.

Имеются 2 офиса плюс головной территориально раскиданные по городу. Имеются 2 провайдера с точками доступа в каждом офисе (организованы VLAN'ы). Задача: соединить офисы с головным так, чтобы при падении маршрута через основного провайдера железка переключалась на резервного.
Объем летающих данных небольшой, подозреваю что устроит DFL-210. Как организуется туннель с резервированием между двумя дфлами пример нашел, разобрался. А как организовать схему в моем варианте (звезда получается)? Направьте общей концепцией (поднимать ли pptp-сервер на файрволе в головном офисе или 2 туннеля на нем (на форуме встречал что 2 туннеля работать не будут)). Смогу ли я обойтись 3мя DFL-210? (нужно заказывать оборудование, надо определится какое и сколько).

Спасибо.

Если в каждом офисе по 2 провайдера + приватные VLAN'ы (т.е. возможна статика), то достаточно по одному DFL на офис.

Общая идея построения IPsec favorier описана в http://dlink.ru/ru/faq/85/575.html, но для важего случая будут различия
1) Статические маршруты, чтобы каждый туннель устанавливался строго между "своими" интерфейсами
2) Мониторинг ICMP маршрутов на туннели
3) Альтернативные таблицы маршрутизации для обработки входящих подключений из каждого туннеля (необходимо для мониторинга)

Схема аналогичная вашей жизнеспособна и, более того, самая отказоустойчивая на DFL. Я внедрил такую же через интернет - работает отлично, соответственно через приватный VLAN будет еще лучше.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо. Приступлю к настройке, буду задавать вопросы

Собрал на коленке схему из трех фаирволлов. fwA поднимающий 2 пары(пара: основной и резервный) IPSec туннелей и fwB, fwC устанавливают каждый пару туннелей с fwA. Настраивал по примеру фака http://dlink.ru/ru/faq/85/575.html Таким образом на fwA как бы продублировались настройки для каждого канала. Из lannet fwA вижу lannet файрволлов В и С и наоборот. Подскажите какие правила или маршруты и на каком шлюзе прописать, чтобы lannet fwB видела lannet fwC и наоборот. НЕ могу сообразить. На fwA пробовал объединять все туннели и lan в одну группу (и к ней, соответственно, применять указаное в фак правило), но так не работает.

Много букв, не понятно.
Либо показывайте вашу схему с адресацией + скрины, либо попробуйте по viewtopic.php?t=127202 настроить. Я так использую.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Схема сети грубо говоря вот такая:


Каналы IPSec на Firewall A:


Маршруты на нем же:


Остальные настройки практически как по мануалу.
Какие скрины еще надо, скажите конкретно, сделаю.

То есть, по вашей схеме получается "звезда" с DFL#A в середине? Видимость между сетями В и С нужна?

По вашему скрину, уберите маршруты на all-nes через remote gateway на wan и dmz. Маршрут all-nets на lan - это для выхода в интернет через существующий шлюз? Тогда, как минимум поменяйте метрику на 1, с 0 маршруты делать некрасиво.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, получается звезда с двумя, пока, лучами. Нужна видимость между подсетями В и С, вы все правильно поняли.

Предложенные исправления внес.

Тогда вот какая рекомендация.

На туннелях к "лучам" делаете сеть со стороны центра 192.168.0.0/16 (то есть, чтобы включала все сети). Метрику маршрута на lan/lannet делаете приоритетнее чем на туннели.

На центральном DFL кроме allow lan<->ipsec делаете еще и правила allow ipsec<->ipsec.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc