Имеются три подсети: 192.168.100.0, 192.168.101.0 и 192.168.102.0
101-ая и 102-ая связаны впн-туннелем IPsec через два DI-804HV
100-ая и 101-ая связаны впн-туннелем провайдера

Соответственно, в 101-ой подсети есть два разных впн-шлюза (один из них DI-804HV, а другой предоставлен провайдером), ведущие в разные подсети. 101 и 100 прекрасно видят друг друга, 101 и 102 тоже.
100 и 102 друг друга видеть не хотят.

Вопрос: что мне нужно настроить в DI-804HV и в шлюзе провайдера, чтобы они увидели друг друга.

Конфигурация сети такая:

192.168.100.0/24 - 192.168.100.200(шлюз прова №1) - впн-туннель - 192.168.101.230 (шлюз прова №2) - 192.168.101/24 - 192.168.101.210 (шлюз DI-804HV №1) - впн-туннель - 192.168.102.1 (шлюз DI-804HV №2) - 192.168.102.0/24

Надо указать в IPsec ACL все сети. В DI единственный вариант это сделать по маске

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я написал в свойствах IPsec туннеля между 101 и 102 подсетями (который построен на двух DI-804HV) адрес 101-ой подсети как 192.168.101.0 с маской 255.255.254.0. По идее 100-ая подсеть тоже включена в эту маску.
Позвонил провайдеру, попросил включить 102-ую подсеть в свойства их впн-туннеля, они вроде бы сделали...
На DI-804HV со стороны 101-ой подсети в закладке Routing прописал маршрут в 100-ую подсеть (через шлюз 192.168.101.230), но пинги все равно не идут...
Я что-то не так делаю или?..

1. DI-804 - девайс тупой, у него странные понятия об IPSec, поэтому для того, чтобы в туннель попадали пакеты для "дальней" подсети необходимо, чтобы:
- адрес терминирования туннеля всегда был .1 (да, вот так странно
- маска должна быть такой, чтобы длинк понимал, что "вдалеке" вот такая сеть, т.е. в вашем случае маска должна быть /(24-1), т.е. /23 как минимум, можно меньше - /22 и т.д. (но не вылезая за разрешенную для 192.*.*.* приватность, не помню, сколько там). Вроде бы вы это сделали.
- есть там где-то настройка маршрутизации еще, так вот в ней есть hop count, если сети фрагментированы (локальные для dlink'а), то hop count должен быть правильный (в зависимости от числа маршрутизаторов по маршруту ДО dlink'а).
- проверять маршрутизацию (и у провайдера тоже). Не забывать, что маршрутизация просто и маршрутизация в туннель - разные вещи, по-разному в разных девайсах реализованные (т.е. очень большой вопрос - как пришедший пакет будет обработан - запихнут в туннель, а ПОТОМ еще и по таблицам маршрутизации, или же наоборот, или же вообще БЕЗ маршрутизации)...

DfDf
Спасибо за ответ!.. но я кой-че не понял, к своему стыду...
1) Что такое адрес терминирования?
2) По части маски - я вообще сделал маску /16 (максимально допустимая для 192-ой подсети) - результата ноль.
3) В настройках маршрутизации НЕТ величины hop count (я тоже офигел).
4) Ну и до кучи, в DI-804HV нет понятия маршрутизации в туннель. Есть обычная статическая, по айпишникам...

Неужели это настолько тупой аппарат? Может все-таки есть какие-то способы?

зы Прошивка у меня стоит последняя...

1. адрес терминирования - это адрес, где начинается сеть, которая " в туннеле". т.е. [сеть внутри]===[туннель]===[сеть внутри]. Так вот, девайс туп, он понимает только адреса удаленной сети, если они начинаются с .1. Буквально: [сеть внутри-не-804: *.*.*.1]===[туннель]===[сеть внутри-804: *.*.*.1]. насчет удаленной - точно, насчет своей - по-моему тоже, но не наверняка.

2.в маршрутизации hop count в последних прошивках и вправду, сбежал ) давно пора, глупость это если пакет уходит большем чем через 30 хопов, то с этим надо что-то делать )))

3. понятия маршрутизации в туннель нету, но при поднятии туннеля табличка внутри него перестраивается, поэтому при поднятом туннеле прописанные маршруты работать должны...

4. у нас схема [di-804]==[туннель]==[dfl-800]==[туннель]==[di-804] работает