Добрый день, подскажите пожалуйста можно ли реализовать следующую схему:

1) Есть центральный офис, подсеть 192.168.8.0/24, где установлен DFL-800 (192.168.8.1). В локальной сети, за DFL-800 стоит прокси-сервер (192.168.8.16), через который пользователи выходят в интернет. (этот прокси-сервер прописан у пользователей которым нужен выход в интернет в качестве основного шлюза)

2) Также есть несколько удаленных офисов (подсети 192.168.4.0/24, 192.168.5.0/24, 192.168.6.0/24, 192.168.7.0/24) в которых установлены DFL-210 (везде выход в интернет через ADSL). Все удаленные офисы через IPSec-тунели соединены с центральным офисом.

3) Из центрального офиса видны все подсети, всё пингуется, есть доступ к машинам в удаленных офисах. И, соответственно, из всех удаленных офисов виден центральный офис и есть доступ к серверам в центральном офисе. Везде статические белые IP.

4) Вопрос: можно ли перекрыть доступ в интернет в удалённых офисах, и завернуть всем удаленным офисам выход в интернет через прокси-сервер, расположенный в центральном офисе?

никак не соображу как это можно сделать и можно ли вообще?

Ответ - конечно можно.

Коли вы хотите использовать прокси как отдельную сущность L7, просто удалите/отключите NAT-правила lan_to_wan в филиалах.

Если вы просто хотите завернуть трафик прозрачно, то опять же отключайте NAT правила, а в IPsec туннелях со стороны центра поставьте не конкретную сеть 192.168.8.0/24, а all-nets.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ясно ли вам, что в этом случае трафик в филиалах все равно будет генерироваться, по объему такой же? Все то, что идет между центральным офисом и филиалом, проходит через IPSec туннель, который в свою очередь, проходит в интернете.

Так что, если это затевается с целью экономии трафика, то экономии не получится. К тому же увеличится нагрузка на канал центрального офиса, так как теперь в интернет все филиалы будут выходить через него.

Имеет смысл, только если вы хотите централизованный учет, кто куда в интернет лазит. А генерирование лишнего трафика вам некритично. Тогда да, все будет фиксироваться на центральном прокси.

А сделать это просто. На филиальских DFL надо закрыть прямой доступ в интернет с пользовательских компьютеров. А на самих компьютерах в браузере указать, что есть прокси-сервер, и его адрес 192.168.8.16.