здраствуйте
админю контору в которой порядка 8 филиалов соединены с головным управлением посредством ipsec туннелей организованных на dfl-210
причем работает отлично лет 5 уже
появилась задача -трафф должен ходить не только от филиала к головному
но и МЕЖДУ филиалами
соответственно дописываю роут в main таблицу
interface-ipsec туннель
network -локальная сеть филиала
соответственно для пробы на 2 филиальных роутерах прописал зеркально маршруты
головной dfl И так обо всех сетях знает
пинги не ходят
в принципе, довольно успешно конфигурирую циски-джуниперы-микротики-фряхи
а тут затык какой то-нет средств диагностики-того же трейса
делаю status-routes
маршруты на всех 3 dfl прописаны
куда копать?
прошивки на практически всех железках разные
2.20.00.26
2.11.02
2.27.00.14
к примеру на этих трех.

на каждом удаленном DFL надо прописать что сеть ався за туннелем включая другие лучи звезды .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

ну как бы роут по умолчанию за туннель прописать не могу-через эти же длинки в филиалах раздается инет, соотвественно дефолт смотрит в сторону провайдера.
ДА, как я уже отписывал в описании проблемы, роуты я прописал
то есть выглядит так в таблице маршрутизации main
интерфейс Туннель
сеть сеть другого филиала
на длинке "другого филиала" соответственно зеркальная запись


филиал1-------тунннель1-----------головной длинк--------------туннель2------------филиал2
соответственно на головном ничего не трогаю-при поднятии туннелей он автоматом прописывает себе что сеть филиала 1 за туннелем 1
сеть филиала 2 за туннелем 2
на длинке филиалов 1 и 2, как я уже отписывал, гейт по умолчанию смотрит в сторону местных провайдеров
при поднятии туннелей на них автоматом добавляются роуты
что сеть филиала за туннелем 1 и 2 соответственно
ручками добавляю маршрут, на филиале 1, что сеть филиала 2 за туннелем1
на филиале 2 соответственно что сеть филиала 1 за туннелем2
НЕ РАБОТАЕТ
что можно еще проверить?

вы должны прописать
филиал1-------тунннель1-----------головной длинк--------------туннель2------------филиал2
что за туннелем лежит сеть филиала 2

те если допустим у вас сеть /16
то и надо писать что за туннелем сети все кроме своей те /16

но в dfl можно создать группу сетей

например у вас офис2 это подсеть 10.10.10.0/24
а голова 10,10,11,0/24
создайте группу адресов из этих подсетей и отправте их в туннель . и так надо сделать на всей сети в концах звезды .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Иметь такой зоопарк прошивок, на мой взгляд, как-то не очень красиво. Я бы их всех в плановом порядке, без спешки, привел к одной. 2.27.03.25.

ftp://ftp.dlink.ru/pub/FireWall/Configure%20lan-to-lan%20tunnels%20between%20a%20main%20office%20and%20two%20remote%20offices.doc

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

разговор глухого со слепым *ля
вы уважаемый вообще пост читали?
просьба именно к вам больше в этом посте не отмечаться
нагоняйте карму в другом месте

имею скверный опыт перепрошивки именно длинков
и зоопарк прошивок не у меня
это зоопарк hardware у длинка
когда вроде модель одна и та же но прошивки не ко всем версиям dfl 210 подходят
уже поимел пару кирпичей получившихся в результате прошивки железки купленной в (например) 2004 году на свежую прошивку (версию не помню)
восстановление через консоль-пару минут
вот только железо у меня раскидано по казани-самаре-челнам-альметьевску и бог знает где еще
и я боюсь, что "привел к одной" сведется в итоге к "в плановом порядке, без спешки" поездкам по городам с консольником в ладошке.
господа, я понимаю что форумы не всегда оправдывают надежд
но как то стремно читать про то как вы бы сделали
проблема в следующем-маршрутизация не работает
причем даже закинул все нужные мне сети в address group И сделал ее remote network для ipsec туннеля
толку то.
сети не видно-видно только сетку на головном маршрутизаторе.все что за ним-недостижимо.

Документ по ссылке читал?

Для того чтобы пакеты шли в IPSec тунель, нужна не только маршрутизация! Нужно в настройках тунеля перечислить в Remote net все возможные сети, достп к которым будет через этот тунель. На каждую подсеть будет свой sa

я это уже пробовал
"причем даже закинул все нужные мне сети в address group И сделал ее remote network для ipsec туннеля
толку то.
сети не видно-видно только сетку на головном маршрутизаторе.все что за ним-недостижимо."-читайте чуть выше
не совсем понятно что такое sa который будет свой на каждую подсеть).

видел его на фтп длинка, в разделе для dfl 210 (рядом с прошивками)
в обще то не увидел где у меня может быть косяк
еще раз схема (упростил до 2 филиалов+ головной офис), в этот раз с ипами

филиал1, сеть 10.1.100.0/24, ип на dfl1 10.1.100.100, ip на wan 192.168.50.18/30 (фейковый потому что с головным офисом он у одного провайдера)
филиал2, сеть 192.168.17.0/24, ип на dfl 192.168.17.1, Ip на wan я получаю от прова по PPOE, он статический, 217.173.xx.xx
головной офис, сеть 192.168.16.0/24, ип на dfl 83.69.xx.xx, ип на wan статический

филиал1----------туннель1-----------офис-------------туннель2-------------филиал2
цель-филиал1 должен видеть филиал2
сначала просто пробовал добавить маршрут вида
на филиале 1 что сеть филиала 2 за туннелем 1
на филиале 2 что сеть филиала 1 за туннелем 2
на офисном ничего не трогаю-у него и так динамически после поднятия туннелей все есть и он все видит
на всех 3 роутерах делаю 1-ым правило
все сети интерфейс любой разрешить all-icmp на все сети интерфейс любой
НЕ ХОДЯТ ПИНГИ
пробовал создать группу, например для филиала 1 засовываю в нее 192.168.16.0/24 и 192.168.17.0/24
и задаю ее как remote_networks для туннеля
соответственно на филиале 2 в такую же группу засовываю 192.168.16.0/24 и 10.1.100.0/24
НЕ РАБОТАЕТ
то есть с каждого филиала сеть 192.168.16.0/24 я вижу а удаленных филиалов НЕТ

sa - security assotiation
Если вы настраиваете IPSec - это вы обязаны знать!
у меня пинги и т.п. ходят через несколько тунелей. Читайте матчасть
все подсети в Remote net - обязательно!
Подробнее:
Филиал1:
local net - только его подсеть
Remote net - сеть офис + сеть филиал2 - можно группой
Филиал2:
local net - только его подсеть
Remote net - сеть офис + сеть филиал1 - можно группой
ОФИС:
local net - своя подсеть и сеть филиал1 для IPSec филиал2
local net - своя подсеть и сеть филиал2 для IPSec филиал1
remotenet - только подсети филиалов
Смотрим на DFL в ОФИС - Status - IPSec - листаем вниз до IPSec SAs - должно быть ДВЕ SA! привязанные к подсетям
Если жмакнуть "List all active IKE SAs" в правом верхнем углу этой же страницы - то там увидим все SA

В настройках интерфейсов IPSec на закладке IKE Settings
Security Association ставим Per Net

о небеса!!!
нашелся человек который прямо тыкнул где косяк!!
огромное спасибо
почти сразу на 2 филиалах все поднялось!