Здравствуйте.

Есть три 804HV. Назовем их: 1,2,3. Между ними подняты IPSec тоннели в таком виде:

1-й подключается ко 2-му.
3-й тоже подключается ко 2-му.

Сеть, которую обслуживает 1-й, видит сеть, которую обслуживает 2-й и наоборот.
Сеть, которую обслуживает 3-й, видит сеть, которую обслуживает 2-й и наоборот.

1-я и 3-я сеть друг-друга не видят!

Тоннели сделаны точно по примеру из FAQ.

Плюс, есть один маленький ньюанс: 2 и 3 соединяются через Internet.

На практике все выглядит сл. образом:
1-я ветвь:
<Сеть192.168.4.0><-><192.168.4.254(LAN)804HV(WAN)192.168.74.30><-><Сеть192.168.74.0><-><192.168.74.38(WAN)804HV(LAN)192.168.1.254><-><Сеть192.168.1.0>

Итого: 4.0 видит 1.0 и наоборот.
74.0 - это внутренняя сеть провайдера.

2-я ветвь:
<Сеть192.168.1.0><-><192.168.1.254(LAN)804HV(WAN)192.168.74.38><-><Сеть192.168.74.0><->Интернет(у провайдера внешний IP пробрасывается на 192.168.74.38)<-><Внешний IP офиса(WAN)804HV(LAN)192.168.2.254><-><Сеть 192.168.2.0>

Итого: 1.0 видит 2.0 и наоборот.

Теперь вопрос:
Как заставить 1(4.0) видеть 3(2.0) и наоборот???
Помогите, пожалуйста, а то уже голову сломал :(

Повторил Вашу схему. В таком варианте сделать чтобы сеть 4.0 видела 2.0 не получиться.

Спасибо.

Почему же не получится?
Если провайдер делает проброс реального адреса на 192.168.74.38, то скорее всего можно договорится о выделении реального адреса и для 74.30? В таком случае вы решите свою задачу.
Второй вариант - заменить устройство в сети 192.168.1.0 на другое, которое позволит пропускать трафик между VPN туннелями. Т.е. трафик будет ходить из сети 2.0 в 1.0, и затем маршрутизироватся в сеть 4.0. Но устройство - минимум DFL-200.

А если взять четвертый 804HV И поместить его LAN интерфейсом в сеть 1.0.

Все компьютеры, которые сидят в 1.0 имеют доступ в Интернет через 192.168.1.254 (он у них шлюзом прописан).

А потом поднять второй тоннель между 192.168.4.254 и новым (как пример, присвоить его LAN интерфейсу 192.168.1.253).

Получится ли таким способом дать сети 4.0 доступ в Интернет?

Если да, то потом поднять третий тоннель между 192.168.4.254 и внешним ip 804HV, который обслуживает сеть 2.0 через Интернет.

Возможен такой вариант?

Спасибо.

Не получится такой вариант, поскольку на 1.254 можно поднять туннель только для сети, напрямую подключенной, в вашем случае 192.168.1.0/24
В любом случае, di-804hv через себя вот такие туннели с транзитными адресами не пустит (точнее не позволит настроить).
А dfl-200/700 позволяют поднимать туннель с любым маршрутизируемым адресом.