Добрый день!

Задача следующая:
поднят VPN между Циской и ДФЛ-800 удаленная сеть/172.18.12.х.
На моей стороне локальная сеть 192.168.10.0/24 (DMZ), но мои хосты хотят видеть как 172.18.12.х. Маршрутизатор не является шлюзом по умолчанию для сети 192.168.10.0/24. На хостах, которые должны связываться через VPN прописаны статические маршруты во удаленную сети через ДФЛ.
Исходящее правило:
DMZ.локальная сеть - NAT - IPSec.удаленные хосты + Specify sender address 172.18.12.х.
Все работает. От меня пинги на удаленные хосты идут.
А вот ко мне нихрена не проходит. Не могу написать работающее принимающее правило.
Сейчас написано так:
IPSec.удаленные хосты - NAT - DMZ.172.18.12.х

В логах:
2012-06-29
18:12:17 Info CONN
600004 IPSec_to_dmz TCP BES_VPN
wan1 10.0.127.24
172.18.12.163 1708
25 conn_open_natsat
conn=open connnewsrcip=192.168.10.125 connnewsrcport=48066 connnewdestip=172.18.12.163 connnewdestport=25

Во первых, из-за того, что хосты 172.18.12.х нигде кроме локальнй сети IPSec не прописаны, пакеты улетают на WAN1. Пробовал добавлять маршрут и приземлять эти адреса на DMZ и IPSec - результат нулевой.

Вам не нужен NAT, вам нужен Allow в обе стороны

Также, запустите пинг из удаленной сети в вашу и посмотрите в Status > Connections, доходит ли он - если есть, значит с ACL и правилами все в порядке

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Как же сработает правило только с allow. снаружи то меня пингуют на 172.х, а у меня 192.х.

Удалось добиться прохождения пингов снаружи
PING ICMP BES_VPN:10.0.127.24:512 core:172.18.12.163:512 7 но, как я понял, на них отвечает сам роутер
Добавил правило SAT из туннеля на 192.168.10.х, но мне кажется, что это правило вообще не срабатывает
Добавил правило Allow из туннеля на 172.18.12.х
Добавил маршрут Interface:core Network:172.18.12.163 0

но порт по телнету снаружи не отвечает
так выглядит коннект на 25 порт
SYN_RCVD TCP BES_VPN:10.0.127.24:1964 core:172.18.12.163:25 42
как это перенаправить в мою сетку?

Неужели никто не знает? Гуру из DLinkа, ПОМОГИТЕ!
Уже кажется все сочетания правил перепробовал. Не могут по телнету ко мне подцепиться .

Отвечаю сам себе. Может кому-нибудь прогодится, если потребуется настраивать связь для получения услуги BES от МТС.
Самое главное прописать маршрут локальный интерфейс/ваша локалка/адрес на котором вас хотят увидеть.
Правила на вход Sat+Allow
На выход NAT