Здравствуйте, форумчане!

Возможна ли реализация IPSec между Windows 2008/2012 и DFL-260E?

если это
не поможет -то описывайте что вам надо подробно , телепаты из отпуска так и не вернулись .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Хотелось бы избежать дополнительных VPN коннекшинов в винде, если возможно, поэтому и спросил про IPSec.
"Что нужно":

1. Есть офис (пусть Центральный), со свое сетью и различными ресурсами, назовем её 1.1.1.0/24. Между миром и локальной сетью стоит DFL-260E, он же шлюз/dns для сети.
2. Есть второй офис (назовем филиал), со своей сетью, 1.1.2.0/24. Так же используется DFL-260E(шлюз/dns).
Между офисами настроен IPSec. В итоге ресурсы двух сетей доступны друг другу.

3. Появился удаленный офис, со своей сетью, 1.1.3.0/24. Нет возможности туда поставить никакую "умную железку". Шлюзом там может выступать только Windows Server 2008/2012.
Задача сделать аналогично 1 и 2: "объединить" центральный офис и удаленный (второй офис не нужен удаленному)

Для реалезации рассматриваются любые программные решения, которые исключат внесение каких либо доп настроек на клиентах.(кроме указания шлюза)

isa ВАМ В ПОМОЩЬ! по хорошему
Если с исой вам не хочется городить , то поднимайте простой PPTP и маршуртизируйте сети .

а так бы - лучше еще один DFL купите , или что то по дешевле - я думаю любой удаленный офис найдет 3к рублей на маршрутизатор.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

ISA-посмотрю, спасибо.
А если использовать PPTP. То как будет лучше/правильнее настраивать: DFL - сервер PPTP, а винда - клиент или наоборот.
Дело не в том, что железку купить дорого. Удаленный офис это по сути "виртуальная ферма" у хостера, там аренда (равно как и установка своего) сетевого оборудования не предусмотрена.

Windows 2008/2012 - клиент к PPTP-серверу на DFL-260E.
Никаких проблем.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Пробовал такую штуку.
Не получилось настроить маршрутизацию из сети 1.1.3.0/24 до сети 1.1.1.0/24 через windows 2012 и его VPN соединение.

На Windows 2012 была установлена стандартная служба маршрутизации для раздачи Инета.
Но сеть 1.1.1.0 не виделась после соединения до DFL. Так же как и из сети 1.1.1.0 не была видна сеть 1.1.3.0

Что нужно на windows и/или DFL настроить что бы эти две сети видели друга ?

Соответствующие разрешающие правила на DFL.
http://www.dlink.ru/ru/faq/85/479.html

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В продолжении темы...
Настроил (как я предполагаю) туннель по ссылке: http://habrahabr.ru/sandbox/67736/

Видно в виндовом фаерволе записи в Основном и Быстром режиме. В DFL есть соответствующая запись в "IPsec SAs", в листе активных ключей есть тот который привязан к туннелю.
Но при попытке обращения (пинг, шары) компьютеров с той или иной стороны связи нет.

Если обращаться из сети за DFL, то в логе видна запись об успешном открытии канала в туннель:
Win_tunnel 192.168.61.45 192.168.10.100 52364 139 conn_open_natsat
При обращении из сети за Windows 2012 в логах DFL никаких записей нет.

Кто-нить подскажет, что со стороны Windows 2012 мешает связи ?

Windows 2012

маршрутизация

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В винде добавлен маршрут с внешнего интерфейса Windows в сеть на втором конце тунеля IPSec через айпи адрес второго конца IPSec..
Что то еще нужно?

route print -в студию !
скрины правил в студию !
а то так можно долго играть в телепатиков

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Поправка...
По указанной выше ссылке на хабре всё удалось настроить.

Проблема была в том, что на сервере было включено NAT.
После отключеня NAT, туннель работает как надо.

В связи с этим обновление вопроса: можно ли осуществить выход клиентов в инет и в тунель IPSec, через один сервер, на котором один внешний интерфейс?

Да можно .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А где/что нужно сделать? Или может на мануальчик какой направите.)