схема

dfl1(192.168.4.0/24) <--IPSEC--> dfl2(192.168.3.0/24) <--IPSEC--> dfl3(192.168.0.0/24)

Всё прекрасно работает.
Возник вопрос можно ли направить трафик из сети за dfl3 в сеть за dfl1 через dfl2.

Т.е. не создавая дополнительного туннеля между dfl1 и dfl3 ?
Если да , то как ?

update:
забыл указать dfl1,dfl3 = DFL210
dfl2 = DFL800

Да, можно.
На DFL1 и DFL3 прописать маршруты друг на друга через туннели до DFL2
на DFL2 прописать разрешающее правило для трафика между двумя туннелями.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Делал не работает, потому и пишу

На DFL3 маршрут
if:ipsek_tun_to_dfl2 net:192.168.4.0/24 gate:null metrik:70

На DFL1 маршрут
if:ipsek_tun_to_dfl2 net:192.168.0.0/24 gate:null metrik:70

На DFL2 правило
tun_to_tun allow sourse:tun_dfl3/all_net dist:tun_dfl1/all_net all_services

не работает
В журнале на DFL3 появляються соеденения вида
PING ICMP lan:192.168.0.20:512 tun_to_dfl2:192.168.4.20:512 5

На DFL2 и DFL1 тишина, нет не соеденений не ошибок не предупреждений.
Развожу руками )

Если делать только на маршрутах, надо еще и NAT правила для подсети делать.
А проще - добавьте со стороны "центрального" DFL не одну сеть, а группу из центра и удаленного DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вообще-то разрешающие правила должны быть на всех трех DFL.

Между подсетями DF2 и DFL1, DFL2 и DFL3 трафик нормально ходит?

Надо еще обратное правило прописать, где tun_dfl1/all_net - source, а tun_dfl3/all_net - destination.
К тому же, пингуете, видимо, сам DFL1. А на нем прописано разрешение для пингования из туннеля? Попробуйте компьютер в подсети DFL1.
Ну и самое главное - в настройках IPSec в качестве удаленки что прописано на всех DFL?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да проблем нет.

Т.к. в журналах не было события по отбрасыванию, не делал разрешающие правила на крайних DFLах.


Идея, попробую отпишусь.(хотя я делал группу из этих интерфейсов и в правеле использовал её, не помогло)

Нет пингую машины и девайсы за ним.

Тогда теряеться смысл туннеля.

вы имеете ввиду "удалённая сеть"?
на DFL1 192.168.3.0
на DFL2 для одного туннеля 192.168.0.0 для другого 192.168.4.0
на DFL3 192.168.3.0

Да, я про "удаленная сеть". Поставьте на всех туннелях all-nets. Только проверьте, что маршруты вручную прописаны, а то DFL сам создаст ненужное.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Смысл туннеля не теряется, надо не забывать про IPsec ACL
Чтобы детально продолжать, автор темы, покажите скриншотами правила, маршруты и параметры IPsec всех трех точек

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc