Все работает между 1 lan и 3 lan
Проблема появилась при добавлении удаленной сети LAN2, со стороны сети (10.10.10.0/24) пингуется адрес DFL1600 LAN2 (10.10.240.2), с самого DFL пингуются компьютеры в сети (10.10.10.0/24)
нет соединения из lan1 (и 3 lan ) в LAN2 и обратно
1 lan LAN1 (10.10.1.0/24) - локальная сеть в главном офисе
2 lan LAN2 (10.10.240.0/30) - (провайдер) - (сеть 10.10.10.0/24) добавлен еще один отдел -
3 lan RespIPVPN (172.16.0.0/30) - (провайдер) - (сети 10.10.2.0/24 ... 10.10.9.0 /24) филиалы по городам


Флаги Сеть Интерфейс Шлюз Локальный IP-адрес Метрика
10.10.240.0/30 lan2 100
172.16.0.0/30 RespIPVPN 100
95.**.***.***/29 wan1 100
85.**.***.***/29 Wan2 100
10.10.8.0/25 RespIPVPN 172.16.0.1 0
192.168.1.128/25 RespIPVPN 172.16.0.1 0
D 10.11.5.128/25 Dynamic_IPsec 0
10.10.10.0/24 lan2 10.10.240.1 0
10.10.2.0/24 RespIPVPN 172.16.0.1 0
10.10.3.0/24 RespIPVPN 172.16.0.1 0
10.10.4.0/24 RespIPVPN 172.16.0.1 0
10.10.5.0/24 RespIPVPN 172.16.0.1 0
10.10.6.0/24 RespIPVPN 172.16.0.1 0
10.10.7.0/24 RespIPVPN 172.16.0.1 0
10.10.9.0/24 RespIPVPN 172.16.0.1 0
D 10.11.2.0/24 Dynamic_IPsec 0
D 10.11.1.0/24 Dynamic_IPsec 0
10.11.3.0/24 AtyrauIPSEC 90
10.10.1.0/24 lan1 100
172.17.100.0/24 DMZ 100
0.0.0.0/0 wan1 95.***.***.*** 100

Статус - соединение источник LAN2 назначение ANY:

Состояние Proto (Первичный) Источник Назначение Таймаут
UDP UDP lan2:10.10.10.35:1031 lan1:10.10.1.3:53 83
PING ICMP lan2:10.10.10.35:768 lan1:10.10.1.5:768 7
PING ICMP lan2:10.10.10.35:768 core:10.10.240.2:768 8
SYNACK_S TCP lan2:10.10.10.35:2942 lan1:10.10.1.9:2193 54

Статус - соединение источник ANY назначение LAN2 пусто

С маршрутами, похоже все нормально. Т.к. пингуется с DFL и обратно.

Значит надо смотреть IP правила. Там что-нть забыли разрешить.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1 fromOffice Allow lan2 Office(10.10.10.0/24) lan1 lan1net all_services
2 toOffice Allow lan1 lan1net lan2 Office(10.10.10.0/24) all_services
3 from Allow lan2 all-nets any all-nets all_services
4 to Allow any all-nets lan2 all-nets all_services

В ходе манипуляций с правилами выяснился следующий момоент если правило изменить следующим образом на NAT:
1 fromOffice NAT lan2 AktobeOffice lan1 lan1net all_services
2 toOffice NAT lan1 lan1net lan2 AktobeOffice all_services

то появляется соединение, но только в направлении с LAN1 на LAN2 , но от имени интерфейса LAN2 (10.10.240.0/30), а не от конечного компьютера

1. Для начала надо на всех участвующих в обмене компьютерах отключить файрволы, в том числе, входящие в состав антивирусов. Какие антивирусы стоят? точное название.

2. и проверить на них маршруты и шлюз по умолчанию. Особенно это касается сети lan2

3. Сочетание any all-nets проблем больше создает, чем решает. Избавьтесь от него.

лучше в конечном счете создать группу локальных интерфейсов lan_all и локальных сетей lan_nets.

И разрешить трафик одним правилом

Allow lan_all lan_nets lan_all lan_nets all-services

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

фаерволы были проверены в первую очередь

HELP!!!
TRacert с LAN1 идет на все другие направления (порты) кроме LAN2:

C LAN1 на LAN3 (RespIPVPN)
C:\>tracert 10.10.8.10
Трассировка маршрута к 10.10.8.10 с максимальным числом прыжков 30
1 25 ms 72 ms 12 ms 10.10.1.1
2 70 ms 33 ms 32 ms 172.16.0.1
3 85 ms 58 ms 67 ms 10.245.37.5
4 79 ms 58 ms 104 ms
5 60 ms 88 ms 69 ms

C LAN1 на LAN2 не идет: ПОЧему? Все разрешено в правилах, маршруты прописаны????
C:\>tracert 10.10.10.10
Трассировка маршрута к 10.10.10.10 с максимальным числом прыжков 30
1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.

Как обычно, ACL

В параметрах IPsec используйте группу из ваших lan1net и lan2net в качестве local network на центральном и remote network на удаленных

При сложной сети (множестве подсетей) есть смысл ставить local/remote network = all-nets, но в этом случае не забывайте убирать автосоздание маршрута и делать корректный руками

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

у меня LAN1 и LAN2 не используют IPSEC
Lan1 - локальная
LAN2 - удаленная подключена через провайдера по услуге MPLS

Упустил момент
Что делает сеть в сети 10.10.10/24? Знает ли это оборудование о том, что сеть 10.10.1/24 находится за 10.10.240.2 ?
То, что с NAT lan1 -> lan2/10.10.10/24 работает, показывает что не знает

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Этот маршрут DFL-у об этом не говорит?
10.10.10.0/24 lan2 10.10.240.1 0

Или имеетсяввиду другое оборудование в этой цепи?

Сеть удаленного офиса 10.10.10.0/24 --- lan 10.10.10.1(модем)Wan 10.10.240.6------((провайдер) 10.10.240.4/30--(провайдер)--10.10.240.0/30(провайдер))------10.10.240.2 lan2 (DFL1600)lan1 10.10.1.0/24

Сниффер в сети 10.10.1.0/24 показал что пакеты приходят от 10.10.10.0/24 , а вот обратно нет

Просто возьмите и нарисуйте схемку, включающую обе сети. с указанием оборудования, адресов интерфейсов и сетей.

Вы проверяли, что на обоих компьютерах в сети 1 и 2, которые пытаются пинговать друг друга, в качесте основного шлюза указан DFL, обеспечивающий связь с удаленным офисом, или указан прямой маршрут до удаленной сети через этот DFL? Я об этом 2 дня назад спрашивал.

Выходят ли связываемые сети 1 и 2 в инет. Если выходят, то через DFL или иным образом?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Рисунок-схема СЕТЬ.jpg

Спасибо за картинку. Так веселее. Хотя через radikal.ru было бы намного удобнее.

1. Действительно один модем в режиме моста, а другой рутера? Если да, то рутер в режиме NAT или PAT?
2. из сети 1 пингуются оба модема?
3. И вы не ответили на предыдущие вопросы.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.