Добрый день!
Есть несколько филиалов объединенных с центральным офисом звездой через IPSec туннели. В филиалах интернет предоставляет провайдер как со статическими, так и с динамическими IP адресами. Во всех филиалах установлены DFL 210 – DFL 260. Туннели работают без проблем. Появилась необходимость сделать видимыми филиалы между собой через центральный офис. Было сделано следующие:
1. На маршрутизаторе 192,168,0,100 добавлена сеть Orbita_Lan 192.168.29.0/24. В таблице маршрутизации main добавлен маршрут Office_IPSec/Orbita_Lan/90. Созданы два разрешающих правила
Allow_Orbita/ Allow/lan lannet/ Office_IPSec/ Orbita_Lan/ all_services
Allow_Orbita1/ Allow/Office_IPSec/Orbita_Lan/lan/ lannet/ all_services
2. На маршрутизаторе 192,168,1,21 в таблице маршрутизации добавлены два маршрута Caso_IPSec/ Orbita_Lan/100 и Orbita_IPSec/ Caso_Lan/100, а также добавлены правила
Allow_Orbita_Caso/Allow/Caso_IPSec/Caso_Lan/Orbita_IPSec/Orbita_Lan/all_services
Allow_Orbita_Caso1/Allow/Orbita_IPSec/Orbita_Lan/Caso_IPSec/Caso_Lan/all_services

В результате при пинге со 192,168,0,99 на 192,168,29,1 пакеты теряются. Трассировка дает, ответ от 192,168,0,100, но потом провалы. В логах и соединениях на 192,168,1,21 нет никаких записей от 192,168,0,99 на 192,168,29,1.
Подскажите пожалуйста, в чем может быть проблема.

http://www.fayloobmennik.net/1827595

система не нова !

в голове вам для каждого туннеля надо прописать что это локальная сеть с учетом другова филиала .
те на примере
ф1 192.168.10.0/24
ф2 192.168.11.0/24 - головной ( допустим)
ф3 192.168.12.0/24

то для ф3 удаленная сеть будет 11 и 10 следовательно для этого туннеля локальная сеть будет и 11 и 10 .
и так далее для каждого туннеля , те надо описывать все сети для каждого туннеля которые лежат за туннелем

вот мануал http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Менять сети не надо
В параметрах IPsec со стороны центра надо указать сеть 192.168.0.0/16 - для филиалов это будет remote network, для центра - local network
Ну и соответственно разрешающие между IPsec туннелями правила

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Начал делать по данному мануалу, при объединении сетей в группы при применении настроек маршрутизатор вываливается из локальной сети и как следствие настройки не применяются.

При назначении сети в центре 192.168.0.0/16 возникает проблема с туннелями на динамических адресах, они отваливаются и подняться не могут. Статические туннели висят нормально. Экспериментировать не стал и вернул все обратно. Пока пытаюсь понять из-за чего такое может быть.

Может быть Вы использовали адреса из этого мануала?
У Вас ведь адреса другие. Например, в инструкции "центральная" подсеть имеет адресное пространство 192.168.3.0/24, филиалы - 192.168.1.0/24 и 192.168.2.0/24. В Вашем же случае в центральном офисе - подсеть 192.168.1.0/24, а в филиалах - 192.168.29.0/24 и 192.168.0.0/24 (если я правильно понял картинку). Соответственно, пример из мануала надо творчески переработать, поменяв адреса на свои.

Конечно же мануал творчески переработан

Спасибо большое! Проблема со статическими туннелями решилась. Сделал всетаки по мануалу. Но тем не менее осталась проблема с динамическими туннелями. При указании в настройках туннеля группы сетей находищихся за туннелем туннели падают и не поднимаются.

Заведите для клиентов с динамическими IP DynDNS и сделайте отдельные IPsec с указанием этих DynDNS

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc