Существуют две сети(192.168.0.0/24 и 192.168.3.0/24), которые необходимо объеденить в одну посредством VPN на базе D-Link DFL-260E.

Головной офис:
D-Link DFL-260E:
LAN:192.168.1.1(192.168.1.0/24)
WAN:X.X.X.X

RRAS на Windows Server 2003 R2:
LAN:192.168.0.2(192.168.0.0/24)
WAN:192.168.1.2(192.168.1.0/24) - настроен NAT
VPN LAN:192.168.1.3(192.168.1.0/24)


Удаленный офис:
D-Link DFL-260E:
LAN:192.168.3.1(192.168.3.0/24)
WAN:X.X.X.X


Проблема состоит в том что пинги между 192.168.0.0/24 и 192.168.3.0/24 не ходят.
Причем пинги:
из 192.168.1.0/24 в 192.168.3.0/24
из 192.168.3.0/24 в 192.168.1.0/24
из 192.168.1.0/24 в 192.168.0.0/24
ходят замечательно


Маршруты на Windows Server 2003:
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.2 192.168.0.2 10
192.168.0.2 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.2 192.168.0.2 10
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.0 255.255.255.0 192.168.1.3 192.168.1.3 15
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.3 255.255.255.255 127.0.0.1 127.0.0.1 15
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
192.168.1.255 255.255.255.255 192.168.1.3 192.168.1.3 15
192.168.3.0 255.255.255.0 192.168.1.1 192.168.1.3 4
224.0.0.0 240.0.0.0 192.168.0.2 192.168.0.2 10
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 192.168.1.3 192.168.1.3 15
255.255.255.255 255.255.255.255 192.168.0.2 192.168.0.2 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
255.255.255.255 255.255.255.255 192.168.1.3 192.168.1.3 1
Основной шлюз: 192.168.1.1



Маршруты на DLF-260E(Головной офис):
255.255.255.252 wan 100
A 192.168.0.0/24 lan 192.168.1.3 0
D 192.168.3.0/24 IPsec 0
192.168.3.0/24 IPsec 90
172.17.100.0/24 dmz 100
192.168.1.0/24 lan 100
0.0.0.0/0 wan x.x.x.x 100


Маршруты на DLF-260E(Удаленный офис):
255.255.255.252 wan 100
A 192.168.0.0/24 IPsec 192.168.1.1 2
192.168.1.0/24 IPsec 90
172.17.100.0/24 dmz 100
192.168.3.0/24 lan 100
0.0.0.0/0 wan x.x.x.x 100


Правила на DLF-260E(Головной офис):
Common-IPsec Allow LAN-IPsec Common-LAN LAN-IPsec Common-LAN all_services

Правила на DLF-260E(Удаленный офис):
Common-IPsec Allow LAN-IPsec Common-LAN LAN-IPsec Common-LAN all_services

MainOffice-LAN: 192.168.0.0/24
MainOffice-FW-LAN: 192.168.1.0/24
Office-LAN: 192.168.3.0/24
Common-LAN: MainOffice-FW-LAN, Office-LAN, MainOffice-LAN
LAN-IPsec - групповой интерфейс, который объединяет LAN и IPSec-канал

Что у вас за ARP published маршрут 192.168.0.0/24 IPsec 192.168.1.1 на удаленном DFL?
На центральном ARP publish тоже не нужен

По факту, в параметрах IPsec со стороны центрального офиса надо указать не одну сеть lannet (192.168.1.0/24), а группу из 192.168.0.0/24 + 192.168.1.0/24
Далее, разрешаете трафик с учетом подсетей (у вас в принципе сделано), оставляете автоматические маршруты и все должно завестись

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сам как раз сейчас так сделал и пинги пошли! Но больше ничего не работает - ни один порт не открывается. В логах удаленного и центрального офисах(на DFL-ях) информация о том что соединение устанавливается записи есть, но по факту ничего не работает.

2012-10-15
10:33:48 Info CONN
600001 Common-IPsec TCP lan
MainOffice-IPsec 192.168.3.104
192.168.0.2 57244
3389 conn_open

По последней проблеме отвечу сам - тип интерфейса на сервере через который ходил VPN-трафик был установлен в "Только просто брандмауэр", а нужно было "Частный интерфейс , подключен к частной сети", из-за чего не корректно работал обратный канал. После изменения все заработало как надо.