Короче - ситуация такая:

Есть центральный офис, есть несколько удаленных офисов.
В центральном и трех удаленных стоят 210 файеры, в одном удаленном DI-804HV. Между каждым удаленным и централкой подняты тунели, все просто здорово ходит, нет никаких проблем.
Теперь встала такая задача - организовать трафф через тунелирование по схеме "удаленный1"<=>"центральный"<=>"удаленный2", то есть сделать классическую "звезду", чтобы удаленные могли "общаться" между собой через централку как через "коммутатор". Сколько я не бился - не выходит каменный цветок. Роуты прописывал, разрешения на обмен данными между сетками ставил, и.т.д. Толку - ноль. Чего я делаю не так??

Пример:
Удаленный1
IP Net 192.168.0.0/24
IP Router LAN 192.168.0.1
IP Router WAN NET 10.0.0.0/24
IP Router WAN 10.0.0.1
tunnel route 192.168.10.0/24 gate 192.168.10.1
tunnel route 192.168.11.0/24 gate 192.168.10.1

Центральный
IP Net 192.168.10.0/24
IP Router LAN 192.168.10.1
IP Router WAN NET 10.0.0.0/24
IP Router WAN 10.0.0.2
tunnel route 192.168.0.0/24 gate 192.168.0.1
tunnel route 192.168.11.0/24 gate 192.168.11.1

Удаленный2
IP Net 192.168.11.0/24
IP Router LAN 192.168.11.1
IP Router WAN NET 10.0.1.0/24
IP Router WAN 10.0.1.1
tunnel route 192.168.10.0/24 gate 192.168.10.1
tunnel route 192.168.0.0/24 gate 192.168.10.1

Между Удл1 и Центр связь есть. Все прекрасно.
Между Удл2 и Центр связь есть, все прекрасно.
Между Удл2 и Удл2 связи нет. Все плохо.

Что делалось:

В маршруты УДЛ1 и УДЛ2 прописывались как указано в примере:
Route 192.168.0.0/24 gate 192.168.10.1 для УДЛ2
Route 192.168.11.0/24 gate 192.168.10.1 для УДЛ1

Соответственно прописывались разрешения "туда" и "обратно" с указанием интерфейса тунеля с центральным офисом и соответствующими сетями.

Воз и ныне там. Что я делаю не так??

Вы забываете об обязательности и высоком весе ACL IPsec. На всех "филиальных" DI/DFL в качестве удаленной сети IPsec (и соответственно маршрута) укажите 192.168.0.0/16. На "центральном" DFL разрешите траффик между туннелями.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В DFL внес изменения, DI пока не трогал:

1. на удаленках IP IPSEC REMOTE LAN 192.168.0.0/16
2. На централке разрешил трафф между всеми IPSec интерфейсами.
3. В маршрутах оно все само по себе появилось, как я видел, ибо сеть IPSEC изменилась.

Толку - ноль. Централка пингуется, а вот из одного филиала другой - нет. Видимо, до конца недопонимаю принципов работы данной железяки. Чего опять не так?? Маршрут есть, трафф разрешен, чего ей еще нужно?!?!?! Башка уже ен варит, сижу и трахаюсь с этим всем с 7 часов вечера вчера...

Все, с DFLками разобрался. На очереди DIка. В понедельник поеду в "филиал где оно стоит, буду колупляться с ней дальше.

На DI все делается аналогично, проверено.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc