Люди добрые, помогите
Есть три сети
192,168,1,0/24 (dfl - 210) Сеть А
192,168,2,0/24 (dfl - 800) Сеть B
192,168,3,0/24 (808HV) Сеть С

1) IPSec каналы построены между сетями A-B и A-C, не могу настроить трафик между сетями B-C
Можно конечно построить еще один IPSec туннель B-C - но нет такой возможности...
Читал мануал про объединение сетей в группу при поднятие IPSec, но данная схема наверно работает только на устройствах DFL, так как 808HV не умеет создавать такие группы.
2) На DFL-210 в сети 192,168,1,0/24 поднят l2tp-server, l2tp-адреса раздаются из сети 192,168,1,0/24. как разрешить хождение пакетов с l2tp клиента в IPSec туннели?

Если для DI в качестве удаленной указывать подсеть, которая покроет обе локальные сети за DFL-ями, то будет работать.

Как видите, это может потребовать смены подсетей.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не уж то другого способа нет?
Как-то менять всю под сеть грубовато

Нету.

Разве что заменить DI.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А что касается второго вопроса?
как пользователей l2tp отправить в IPSec каналы?

Добавить нужные IP правила и, возможно, маршруты на клиенте.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Чтобы ваши L2TP клиенты подключались к сетям за IPsec, на них должны быть маршруты
Добавлять можно либо внучную, либо например скриптом как ниже
Ну и IP rules не забывайте

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А не подскажете как маршруты прописать на Web интерфейсе, как я понял надо добавить их в таблицу main
и еще примерно какого рода правила должны быть???

Маршруты на удаленном клиенте/

IP правила на DFL. Зависит от ваших пожеланий.

например, разрешить доступ всех ко всем в локальных сетях:

allow lans lannets lans lannets all-services

где
lans - группа интерфейсов lan, ipsec, l2tp
lannets - группа всех локальных сетей.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за совет, сделал группы интерфейса и сетей, запихал туда все что надо - 3 Ipsec+lannet в настройках l2tpserver во вкладке "Add route" У казал что Alowed network - группа сетей и написал правило allow lans lannets lans lannets all-services - все заработало.

А вот с DI 808HV остались проблемы, там где участок сети за 808HV локальная сеть должна покрывать сети за IPSec или указанная удаленная сеть должна покрывать сети 2-х IPSec каналов?

Удаленная на DI + локальная на DFL
Если сети по маске нельзя объединить, то без вариантов сделать это на DI

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc