Всем доброго времени суток.

Возникла некоторая потребность в извращениях, суть которых состоит в необходимости завернуть интернет трафик из удаленных подразделений подключенных через каналы IpSec на канал выхода в интернет головного офиса.
Оборудование DFL800 в головном офисе, в подразделениях DFL210, DFL260, DSR500. Причины такого изврата - предоставление провайдером услуги передачи данных между точками без доступа в интернет. А камнем преткновения у меня стали маршруты.

И как продолжение темы извращений возник вопрос, а есть ли возможность поиметь прямой доступ из одного удаленного подразделения в другое транзитом через головной?
Нужна подсказка, куда посмотреть, так как ума не приложу, почему не ходят пакеты, при том, что формально все разрешающие правила есть, из головного офиса пакеты идут нормально, а из подразделений только до головного офиса, а дольше как обрубает.

Камнями прошу не кидаться, знаю, что все это жуткое извращение, но на данные момент единственное решение.

без проблем
делаете маршрут с all-nets с большим приорететом в туннель на голову и инет получается через голову
не забудте пользователям разрешить в туннеле 53 порт и необходимые сервисы

да и еще у вас туннели должны быть с параметрами all-nets
на dfl без проблем вот как с Dsr не знаю сможет ли он сделать туннель с такими параметрами

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо за наводку, пойду попробую на ближайшем отделении поломаю. Постараюсь отписаться как будут какие нибудь результаты.

у меня работает такая схема - без проблем -только немного получше с мониторингом основного маршрута
как основной падает весь инет запихивается в туннель

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я конечно понимаю, что мои познания в маршрутизации скудны и в корне ущербны, но не работает как надо или же я никак до конца не пойму логику работы сия поделия.
Попробовал добавить маршрут:
1 Route IPSec center_net 80
2 Route core all-nets GW_center 60 < добавлено
3 Route wan wannet 100
4 Route dmz dmznet 100
5 Route lan lannet 100

Появляется доступ к интернету, но полностью отрубается доступ к сети головного оффиса.
На время по всех правилах сделал доступ всех для всех, с настройках туннеля тоже:
1 Route IPSec all-nets 80
2 Route lan lannet 100
3 Route wan wannet 100
4 Route dmz dmznet 100
5 Route core all-nets GW_center 60 < добавлено
Результат тотже.


А по поводу DSR, там в виду специфических ограничений скорее всего реализовать такую маршрутизацию нельзя (в поле назначения стоит фильтр который не даст ввести некоторые значения).

Во-первых, в параметрах IPsec сделайте all-nets как local на DFL с интернетом и как remote на удаленном DFL

Далее, на удаленном маршруты
ipsec all-nets 100 (без шлюза)
wan main_dfl_ip wan_gw 1 (маршрут до центрального DFL на интернет)
Остальные маршруты - только автоматические

Если не получается, показывайте скриншотами интерфейсы, правила, маршруты

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Попробовал внести выше предложенное, никаких изменений, все осталось без изменений .
Выкладываю скрины с начальными настройками без учета опытов (правила поле проб удалаю, если нет результатов, если есть какие либо подвижки, отключаю):
Скрины:
https://docs.google.com/open?id=0BxFRaMs4ckD2MThiTVRiR0tvSzQ
https://docs.google.com/open?id=0BxFRaMs4ckD2R3dxY3RmaThjOEU
https://docs.google.com/open?id=0BxFRaMs4ckD2RXFQSGtha1BnNTg
https://docs.google.com/open?id=0BxFRaMs4ckD2UjF1S3VqclRVbzg
https://docs.google.com/open?id=0BxFRaMs4ckD2a1VPaUtES3ZST2s
https://docs.google.com/open?id=0BxFRaMs4ckD2bExZajgzZVlQbTg

выложите через radikal.ru в тегах [_img] [_/img]

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Скрины с удаленного маршрутизатора DFL-210:




И скрины с центрального маршрутизатора DFL-800:




Если нужны будут еще какие скрины говорите, я пока пытаюсь найти толковый мануал по данной железке. Все таки разрозненные howto немного не торт.

Мануал по железке лучший - официальный. На FTP или http://tsd.dlink.com.tw/ английская версия, в этом форуме (см.прилепленные темы) - даже на русском.
Но здравого смысла мануал не отменяет, чтобы сделать что-то, надо представлять как оно работает.

Теперь, по вашим настройкам.

На удаленном DFL
У вас wannet = all-nets ? Если да, то убирайте маршрут (отключайте в параметрах соединения), сделайте маршрут wan/center_out_vosnet/1 (интерфейс/сеть/метрика)

На центральном DFL
Оставьте Allow правила для связи с lan, другими IPsec - что вам надо, но укажите вместо any конкретные интерфейс или группу интерфейсов
Чтобы был интернет в филиале, надо сделать правило вида NAT ipsec/remote_net wan/all-nets

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Большое спасибо за подсказки, попробую на днях разложить всю кашу из мануалов, советов и конфигов в голове по полочкам и как появятся какие либо результаты отпишусь. Пока хорошо, что сдвинули меня с место осознанием, что wan lan и другие встроенные маршруты не константы, я над этим что то сильно затупил, наверное все таки в выходные лучше отдыхать К тому же несколько не удобна отладка на расстоянии, некоторые инструменты недоступны.

Все получилось :р стоило только выспаться на выходные, и еще раз посмотреть советы применительно к настройкам.

Для этого потребовалось на центральном узле:
1. заменить в настройках канала IPSec параметр локальная сеть: с centr_net заменить на all_nets
2. заменить в стандартных правилах доступа для нат: lan lannet на all_inner_interfaces all_center_nets (в группу all_iner_nterfaces запихал lan и все ipsec каналы, в all_center_nets запихал все подсети организации)

на удаленном узле:
1. убрать маршрут по умолчанию 0.0.0.0 в интерфейсе wan и заменить его на маршрутом на подсеть провайдера с максимальным приоритетом
1. заменить в настройках канала IPSec параметр удаленная сеть: с centr_net заменить на all_nets

осталось порезать доступ до нормальных размеров и думать дальше о новых фишках
Огромное спасибо за подсказки товарищам: danilovav, Vladimir22

PS: все таки общение с "тупыми" роутерами накладывает свой отпечаток :р

прежде всего danilovav
я сам у него учился ..... и переь помогаю остальным .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Железяка на удивление приятная, самое главное понять логику настройки и знать основы того что настраиваешь :р и получается все само сабой. Проблемы возникают только в свете стереотипов или не понимании сути настраиваемого предмета.

Добренько всем.
Решил отписаться по железке DSR-500. После продолжительных мучений оказалось, что таки она тоже умет заворачивать трафик в IPSec канал, и с прошивкой v1.04B58_ww это 100% работает. Для того чтобы все получилось нужно выставить в настройках удаленной сети ANY. В v1.06B43_ww должно в дополнение появится резервирование IPSec канала, но к сожалению данная фишка не поломана вместе с IPSec подключениями.