Приветствую уважаемых участников.
Прошу оказать посильную помощь (конкретными инструкциями либо указаниями направления куда "копать") "вынужденному" (по воле случая) сисадмину.
Конфигурация сети следующая:
Главный офис (сеть 192.168.0.0/24), изначально присутствовал один канал интернет который раздавался через DFL-860 (192.168.0.1) (к нему подключены 2 сервера 192.168.0.201 и 202), а так же неуправляемый коммутатор 48 портов, к которому и подключены компьютеры пользователей.
Филиал (сеть 192.168.1.0/24), в котором был так же канал интернет через DI-804HV + неуправляемый коммутатор.
Между главным офисом и филиалом действовал IPSec тоннель, все функционировало нормально.

Сейчас всё "развалилось" и я не могу сообразить с чего начать правильную настройку.
Изменения следующие: добавились 2 филиала (сети 192.168.2.0/24, 192.168.3.0/24). В главный офис , для бесперебойной работы Интернета, добавлены 2 интернет-канала. Все подключено через Netgear SRX5308 WAN1, WAN2, WAN3. SRX5308 (192.168.0.200) подключается к LAN порту DFL-860 и на всех компьютерах главного офиса Netgear (192.168.0.200) прописан шлюзом по умолчанию, доступ в интернет есть.
В филиалах интернет отключен. VPN с филиалами планируется установить через выделенные каналы предоставляемые провайдером. В главный офис этот канал заведен через порт WAN1 DFL-860. Когда я заново настроил IPSec тоннели с филиалами, то в главном офисе пришлось на компьютерах снова поменять шлюз по умолчанию на DFL-860 (192.168.0.1). Связь с филиалами заработала, но соответственно пропал интернет.
Какие настройки нужно задействовать, чтобы интернет был на компьютерах главного офиса? И возможно ли из главного офиса, через IPSec тоннели с филиалами, подавать в них (филиалы) интернет. А так же осуществлять проброс портов, чтобы из Интернета был доступен ftp-сервер, работающий на 192.168.0.201, по одному из ip-адресов, подключенных к Netgear (192.168.0.200)?

Пытался читать тему viewtopic.php?f=3&t=163059 ... Но разница в том, что у меня лишь один DFL-860, а на другой стороне DI-804HV. А интернет приходит не напрямую в DFL-860.
Так же пробовал подключить WAN2 DFL-860 к LAN порту Netgear (чтобы хоть как-то решить проблему со шлюзом по умолчанию), однако созданный автоматически маршрут и написанное мною правило, позволили лишь пинговать Netgear, а например даже до DNS сервера провайдера пакеты не идут...

То есть, получается у вас сейчас 4 канала в офисе?
Для VPN используется только один канал, иные 3 - чисто под интернет?
В таком случае, сделайте DFL шлюзом, а Netgear поставьте перед ним и пусть тот рулит каналы интернета.
Таким образом, у вас будет один шлюз - все реализуемо.

Если этого не делать, то шлюзом должен быть Netgear, а через DFL должен быть прописан маршрут до удаленной сети.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за Ваш ответ.
Да, канала - 4. Три для интернета (все три не слишком стабильные из-за чего VPN-ы в старой схеме часто рвались), три интернет канала заведены в Netgear, т.к. тот имеет 4 WAN порта.
Ещё один, выделенный канал (без интернет) подключен к WAN1 DFL-860. Как я понимаю, через этот канал провайдер маршрутизирует весь трафик между филиалами.
Я пытался по началу завести все 4 канала в Netgear, но во-первых не смог наладить между ним и DI-840HV новые IPSec тоннели (связь почему то просто не устанавливалась), а во-вторых, как уже сказал, есть потребность подавать интернет из центрального офиса в филиалы, через IPSec тоннели. И если по DFL-860 на форуме есть хотя бы похожая тема (т.е. кто-то все же добивался подобного), то по настройке Netgear никакой информации на их форуме не нашел.

с 804-ь вы такую фишку не сделаете .

вообще я бы прислушался к совету danilovav, и собрал бы схему Netgear -DFL -клиенты
на Netgear проброс портов необходимых для поднятия IPsec / или добавить адрес DFL в DMZ.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Еще раз - спасибо за ответы и советы.

Если на DI-804 интернет трафик пробросить не удастся, то решил остановиться на варианте с организацией proxy в сети центрального офиса. И уже через него разрешать выход в интернет пользователям из филиалов.

Возникает ещё один вопрос. Если я оставлю, в центральном офисе, Netgear шлюзом по умолчанию (на нем уже настроен проброс портов, до необходимых серверов в локальной сети), то придется на нем прописывать маршрутизацию, чтобы компьютеры главного офиса видели филиалы (через тоннели, организованные на DFL)?
А так же на DFL прописывать маршруты и правила для доступа компьютеров филиалов к серверам центрального офиса?