планируется создать тунели 3-х офисов с основным (объединить все подразделения в одну прозрачную сеть)
на сегодня для экспериментов имеются два устройства dsr-1000 и dsr-150 с прошивками 2.02_WW и 2.01_WW
основной офис lan: 192.168.0.0/24 (dsr-1000)
удаленный офис lan: 192.168.20.0/24 (dsr-150)

На сегодня удалось поднять тунель ipsec. Но работает он как-то неправильно и не так, как хотелось. Судя по Active VPNs пакеты из удаленного офиса уходят. Их совсем немного, но по крайне мере счетчик меняется. В основном офисе пакеты всегда равный нулю.

Есть практика настройки vpn pptp через windows xp->2008, поэтому возникают некоторые вопросы:
1. обычно когда создаешь тунель vpn pptp то указывается какой-то диапазон ip, который будет назначен клиенту/серверу. В случае ipsec в режиме Tunnel Mode ничего не назначается, т.е. просто создается тунель между внешними ip, что позволит общаться двум сетям между собой?
2. ipsec всеже создает работоспособный тунель или это дополнительная технология защиты тунелей pptp/l2tp.
3. что необходимо еще настраивать в устройствах для соединения двух сетей, например, статическую маршрутизацию, правила файрвола (какие) и т.д. или достаточно настроить раздел ipsec policies?
4. для чего нужен раздел GRE Tunnels? В описании не очень понятно, т.к. написано что можно добавлять, удалять и редактировать созданные тунели. Созданные тунели pptp/l2tp/ipsec или что?
5. пробовал использовать D-Link VPN Assistant v1.0. Утилитка работает, но в момент сохранения настроенного тунеля выдает ошибки. Щас не помню что писало, но у меня возникло впечатление что какая-то несовместимость с прошивками. Если надо - напишу. И вообще как я понял утилитка давно не обновлялась, может есть более новая версия?
6. позволит ли мне объединение этих двух устройств в тунель vpn объединить две сети в одну, т.е. чтобы любой компьютер в удаленной сети мог связаться с любым компьютером в основной сети (и наоборот) без использования в настройках сети компьютеров шлюза? Если IP адресация в обеих сетях будет одинакова (192,168,0,0/24).

И еще вопросик, есть в gui раздел active sessions. Несколько раз замечал что при его выборе вылезает пустое окно без сессий, хотя на самом деле сессии у меня были. Что такое? Почему сессии выводятся неправильно? Как в CLI посмотреть active sessions?

спасибо

Если есть возможность - сдайте ваши DSR'ки и присмотритесь к серии DFL.
Строить корпоративные тоннели лучше на них.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

возможно и лучше, но, как я понимаю, это можно сделать и на dsr моделях
сдать уже невозможно. Один из них куплен год назад, другой пару месяцев. А потом не каждый поставщик примет назад рабочее оборудование.

вообще лучше купить какуюб-нибудь железяку тыс. за 100, там точно все будет работать. Только кто бы дал такие деньги.

1 Настройка Local IP:/Remote IP: с указанием внутренней и внешней подсетей относительно каждого устройства как раз даёт понимание пакетам куда "гулять".
2 Может и так и так, но подружить с аналогичной технологией другого производителя (L2TP+IPsec) пока не удалось, бьюсь.
3 В теории достаточно политик, если фаервол по умолчанию не рубит всё.
4 Сам не разобрался.
5 Не пробовал.
6 Адресация в обоих сетях обязана быть различной, иначе роутер не поймёт что у него внутри сети а что гнать в тунель. Настройка политик как раз и разъясняет устройствам что куда гнать и как шифровать.