Центральный офис: dfl-860E, два провайдера, wan1 статик глобал IP, wan2 по dhcp провайдер выдает статик глобал ip.
Настроен PBR, RLB..
Так же есть удаленные офисы, там стоят Mikrotik RB750GL либо DI-804HV.
Удаленные офисы соединены с центральным офисом IPsec туннелями, через провайдера1 на порт wan1. В случае, если провайдер1 в офисе падает, удаленные офисы могут подключаться напрямую(без IPsec туннеля, проброшены порты).
Это все работает, проблем нет, кроме одного офиса, у которого IP адрес 192,166,132,ХХ.
IPSec туннель между 192.166.132.ХХ и wan1 центрального офиса работает отлично, пинги, просмотр маршрута работает в обе стороны.
Но вот с 192.166.132.ХХ на wan2 центрального офиса нифига не ходит... маршрут(если смотреть с 192.166.132.ХХ на wan2 ЦО) обрывается на предпоследнем узле(за которым должен быть dfl). А теперь внимание, если смотреть с ЦО через wan2 то я вижу 192.166.132.ХХ!!
Думал что у провайдера(который на wan2) проблемы с маршрутизацией, так как 192.166.132.ХХ вижу откуда угодно, ну с 192.166.132.ХХ вижу все.
Провайдер на wan2 нас еще по ряду пунктов не устраивал, его сменили. И такая же самая фигня!!!!
У всех удаленных офисов все работает, а 192.166.132.ХХ опять не видит wan2, который уже на другом провайдере!!!, и точно так же маршрут(если смотреть с 192.166.132.ХХ на wan2 ЦО) обрывается на предпоследнем узле(за которым должен быть dfl)!!!
Тогда я подключил кабель от второго провайдера напрямую в комп - все работает!
Нифига не пойму! Подскажите в чем может быть проблема

блин, может dfl считает что 192.166.132.ХХ это IP с локальной сети и когда он приходит на wan, его дропает...

хотя что за бред, ведь wan1 видит

Правила с 192.166.132.ХХ в студию.

он точно не причем, если я вытягиваю кабель с dfl и вставляю в обычный комп, то все нормально. Опять возвращаю в dfl, не работает

много уважаемый , пока вы будете приператся и высказывать сое мнение кто и что тут не причем ( зачем тогда пришли спрашивать ) выкладывуайте все что вас просят .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Пожалуйста

Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Protect router, allow icmp
chain=input action=accept protocol=icmp

1 ;;; Protect router, allow established connection
chain=input action=accept connection-state=established

2 ;;; Protect router, allow related connections
chain=input action=accept connection-state=related

3 ;;; Protect router, allow access to router(tcp:80) from office
chain=input action=accept protocol=tcp src-address-list=Office dst-port=80

4 ;;; Protect router, allow access to router(tcp:8291) from Office
chain=input action=accept protocol=tcp src-address-list=Office dst-port=8291

5 ;;; Allow Bandwidth Server TCP Port 2000 to all shops
chain=input action=accept protocol=tcp dst-address=192.166.132.ХХ src-address-list=Shops in-interface=ether1
dst-port=2000

6 ;;; Allow Bandwidth Server UDP Port 2000 to all shops
chain=input action=accept protocol=udp dst-address=196.166.132.ХХ src-address-list=Shops in-interface=ether1
dst-port=2000

7 ;;; Allow DNS request from Wi-Fi router
chain=input action=accept protocol=udp src-address=10.10.10.2 dst-address=10.10.10.1 dst-port=53

8 ;;; Allow NTP Server
chain=input action=accept protocol=udp src-address=10.10.10.2 dst-address=10.10.10.1 dst-port=123

9 ;;; Protect router, drop invalid connections
chain=input action=drop connection-state=invalid

10 ;;; Protect router, drop anything else
chain=input action=drop

11 ;;; Protect lan, drop invalid connections
chain=forward action=drop connection-state=invalid

12 ;;; Protect lan, block bogons
chain=forward action=drop src-address=0.0.0.0/8

13 ;;; Protect lan, block bogons
chain=forward action=drop dst-address=0.0.0.0/8

14 ;;; Protect lan, block bogons
chain=forward action=drop src-address=127.0.0.0/8

15 ;;; Protect lan, block bogons
chain=forward action=drop dst-address=127.0.0.0/8

16 ;;; Protect lan, block bogons
chain=forward action=drop src-address=224.0.0.0/3

17 ;;; Protect lan, block bogons
chain=forward action=drop dst-address=224.0.0.0/3

18 ;;; Accept Remote Management For Wi-Fi router
chain=forward action=accept protocol=tcp src-address-list=Office dst-port=5555

19 ;;; Protect lan, allow already established connections
chain=forward action=accept connection-state=established

20 ;;; Protect lan, allow related connections
chain=forward action=accept connection-state=related

21 ;;; IPsec tunel, allow all traffic ftom 10.100.19.0 to 10.100.26.0
chain=forward action=accept src-address=10.100.19.0/24 dst-address=10.100.26.0/24

22 ;;; IPsec tunel, allow all traffic ftom 10.100.26.0 to 10.100.19.0
chain=forward action=accept src-address=10.100.26.0/24 dst-address=10.100.19.0/24

23 ;;; allow Citrix(TCP 80, 1494, 2512, 2513, 2598, 2897) ftom 10.100.26.0 to Office
chain=forward action=accept protocol=tcp src-address=10.100.26.0/24 dst-address=Office dst-port=80,1494,2512,2513,2598,2897

24 ;;; allow Citrix(UDP 1604) ftom 10.100.26.0 to Office
chain=forward action=accept protocol=udp src-address=10.100.65.0/24 dst-address=Office dst-port=1604

25 ;;; ether2(IPSec port), deny connections to 10.10.10.0
chain=forward action=drop src-address=10.100.26.0/24 dst-address=10.10.10.0/3

26 ;;; ether2(IPSec port), deny any connections
chain=forward action=drop src-address=10.100.26.0/24 dst-address=0.0.0.0/0

27 ;;; Protect lan, deny TFTP
chain=forward action=drop protocol=tcp dst-port=69

28 ;;; Protect lan, deny RPC portmapper
chain=forward action=drop protocol=tcp dst-port=111

29 ;;; Protect lan, deny RPC portmapper
chain=forward action=drop protocol=tcp dst-port=135

30 ;;; Protect lan, deny NBT
chain=forward action=drop protocol=tcp dst-port=137-139

31 ;;; Protect lan, deny cifs
chain=forward action=drop protocol=tcp dst-port=445

32 ;;; Protect lan, deny NFS
chain=forward action=drop protocol=tcp dst-port=2049

33 ;;; Protect lan, deny NetBus
chain=forward action=drop protocol=tcp dst-port=12345-12346

34 ;;; Protect lan, deny NetBus
chain=forward action=drop protocol=tcp dst-port=20034

35 ;;; Protect lan, deny BackOriffice
chain=forward action=drop protocol=tcp dst-port=3133

36 ;;; Protect lan, deny DHCP
chain=forward action=drop protocol=tcp dst-port=67-68

37 ;;; Protect lan, deny TFTP
chain=forward action=drop protocol=udp dst-port=69

38 ;;; Protect lan, deny PRC portmapper
chain=forward action=drop protocol=udp dst-port=111

39 ;;; Protect lan, deny PRC portmappe
chain=forward action=drop protocol=udp dst-port=135

40 ;;; Protect lan, deny NBT
chain=forward action=drop protocol=udp dst-port=137-139

41 ;;; Protect lan, deny NFS
chain=forward action=drop protocol=udp dst-port=2049

42 ;;; Protect lan, deny BackOriffice
chain=forward action=drop protocol=udp dst-port=3133

43 ;;; Wi-Fi net, rules
chain=forward action=jump jump-target=Wi-Fi src-address=10.10.10.0/30

44 ;;; Wi-Fi net, drop all to 10.100.0.0
chain=Wi-Fi action=drop dst-address=10.100.0.0/16

45 ;;; Wi-Fi net, drop all p2p
chain=Wi-Fi action=drop p2p=all-p2p

46 ;;; Wi-Fi net, allow to inet
chain=Wi-Fi action=accept dst-address=0.0.0.0/0

47 ;;; All other forward drop
chain=forward action=drop

позвольте спросить ?! что это было скопипастено ?!
на скриншот что то не очень похоже

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

в первом сообщении написано, что на удаленных офисах стоят Miktoik и Di-804HV...
именно на этой точке стоит Mikrotik, это правила его фаервола...

ну тогда http://mikrotik.ru/forum/ - там вас ждуть

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

я на следующей неделе буду на той точке, и ради интереса поставлю вместо mikrokik di-804hv
обязательно отпишусь.

Нужна примерная схема сети
Из ваших микротичных правил не понятно, где же правила для выпуска трафика на wan2 (я так понимаю, все же NAT)
Покажите правила DFL - IP rules, PBR, маршруты (в том числе, какие есть таблицы)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Схема сети очень простая, звезда, в центре(центральный офис) dfl860e и два провайдера, удаленные точки - либо mikrotik 750gl, либо di-804hv. Если все же будет не понятно напишите, я обязательно нарисую.
Сейчас, специально для эксперимента на точку которая не может подключиться на wan2 dfl'я поставил di-804, чтоб mikrotik не отвлекал от основной проблемы.
Ниже скрины:
IP Rules:


IP Rules c инета на сервера:


IP Rules серваки в инет


Main Routing Table


Alt Routing Table


Routing Rules


Напомню, что при такой настройке 5 удаленных точек подключится могут и прекрасно работают, а одна даже не пингует wan2 dfl'я.

У вас в PBR rules для входящего с wan2 трафика нет разрешения для ipsec-suite.
Более того, т.к. IPsec - штука двунаправленная, сделайте статический машрут до той точки через wan2 или же подключение делайте к динамическому IPsec туннелю.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

та дело в том что на wan2 IPSec мне и не нужен.
Подключаются на Citirix_Xen_App