Доброго времени...
Имеется закрытый канал связи между двумя зданиями, предоставляемый провайдером, без доступа к сети Интернет, с конечным оборудованием (маршрутизаторами). Сразу уточню, к этим маршрутизаторам нет доступа к администрированию. В конечном оборудовании есть по одному свободному порту, к которым: в главном здании подключен DFL-260E по WAN а в филиале DSR-250N тоже по WAN.
Между DFL-260E и DSR-250N построен IPSec туннель. В локальной сети, где расположен DFL-260E находится интернет шлюз на машине под управлением linux (iptables), который разрешает выход в Интернет для DFL

Remote LANnet (DSR-250N): 172.17.0.0/16
LANnet (DFL-260E): 172.16.0.0/16
IP Интернет шлюза сети LANnet: 172.16.2.100
маршрут на DFL-260E до Интернет шлюза прописан, все пакеты на адреса кроме LANnet, RemoteLANnet и WANnet идут на 172.16.2.100 (Инет шлюз)
PING внешних ip (интернет-адресов) с устройства DFL-260E есть
Маршрут на Инет шлюзе для сети филиала 172.17.0.0/16 через 172.16.254.254 (DFL-260E) добавлен, с него прекрасно пингуются машины из Remote LANnet
Компы через IPSec туннель в разных зданиях друг друга видят, сетевые ресурсы доступны. Так же пингуется из удаленной сети Интернет шлюз главного здания.
Вопрос, как настроить маршруты для сети 172.17.0.0/16 (Remote LANnet) на внешние ресурсы (Интернет) через удаленный Интернет шлюз главного здания 172.16.2.100 ?

Три раза прочел . ни чего не понял
если у вас в голове DFL то просто попробуйте сделать грпуппу из Lan-Net И remote net ( ваша сеть за ипсеком )
и эту группу используйте для выхода в инет в папке LAN-WAN или как она там называется

правда . я не знаю как вы на поделее DSR скажете что вся сеть лежит за ипсеком
на DFL это делается замечательно

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Про грпуппу из Lan-Net И remote net понятно, сделаю. Только не понял про выход в инет в папке LAN-WAN. Если имеется ввиду папка Firewall Rules, то у меня Инет не подключен к DFL по WAN. Интернет шлюз болтается в локальной сети, а на DFL есть маршрут до него на LAN интерфейсе, типа все пакеты кроме Lan-Net И remote net идут на Интернет шлюз

ну а кто тогда разварачивает пакеты на ваш шлюз ? в сети с DFL кто DHCP И кто выдает шлюз ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

в том то и проблема что никто DHCP нет, у всех статика, поэтому и возникает вопрос, реально ли вообще реализовать некий удаленный интернет шлюз в филиале через IPSec туннель в текущей конфигурации. И если реально, что-то еще нужно дописывать в Firewall Rules на DFL? какие действия применять к этим правилам NAT, Allow, SAT или что там еще
З.Ы. Немного подкорректировал первый пост, может будет понятнее задача....

Ну если статика гоните с дср все в сторону дфл а на дфл напишите правило
Форвард фаст ипсек/ремоте нет лан/ваш шлюз
Ну а на вашем шлюзе натьте уже в инет .
Про днс сервера не забудьте . Что оно должны быть действующие .

Правда не понимаю зачем такая связка.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Застрял на этапе "гнать все с DSR в сторону DFL" Если использовать Routing на DSR, шлюзом DFL никак не выставить, т.к. он из другой сети. Какой инструмент на дср использовать?

Я с DSR не знаком . и слава богу .....
ту не помогу . или ищите сами решение или меняйте на DFL

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Может связку другим способом предложите?, но с тем же железом, замена дср на дфл пока-что вне бюджета. Текущая связка такая - это просто импровизация, на что рук хватало, так сказать, пока не уперся в стенку Но условия все те же, кабель с Интернет шлюза никак не сдернуть, там много чего завязано, и WAN порт на DFL все равно занят - закрытым каналом связи с филиалом.

если есть прямая связь. как то физически. то попробуйте сделать следующее
настроить на DFL PPTP\L2tp сервер
на DSR поднять клиента.
на DFL в свойствах клиента - укажите сеть за клиентом(ваща сеть на DSR)

и добавьте ранее указанное правило для клиентов из туннеля.

по логике метрика PPTP интерфейса будет будет минимальной и весь траффик пойдет в туннель , а правилом вы клиентов завернете на свой шлюз и далее отнатите их в интернет .

по сути получится ситуация когда вы интернет будете получать для своего DSR как будто домашний провайдер
а на DFL его завернете на ваш шлюз. может и получится .
PS надо попробовать такое . но только в другой связке . интересное решение .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Хорошо, спасибо за совет. буду пробовать. Интуитивно, были мысли, что нужно уходить на ДФЛ в сторону РРТР или PPPoE. Но никогда с настройкой этих инструментов на серьезных девайсах не сталкивался. Если я правильно понимаю, IPSec туннель нужно будет разобрать?

в вашем случае - да .
в случае с DFL , все решается за 10 минут .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Туннель IPSec (равно как и другие туннели) -- это p2p, для никаких gw не бывает по определению. Попробуйте не заполнять или подсунуть что угодно. Винда, например, ставит свой собственный адрес (ближний конец туннеля) как "шлюз" на p2p маршрутах.

IPSec однозначно лучше, чем PPTP. У меня тоже нет опыта борьбы с DSR, но сомневаюсь, что нельзя создать маршрут через IPSec, а через PPTP - можно. Возможно, просто нужно сказать, что IPSec нужно использовать в качестве шлюза по умолчанию, как в Винде.

навряд ли в подолее DSR такое возможно . надо же прописать что RemoteNet 0.0.0.0\0
а вот с PPTP можно сделать метрику и трафик отправить весь в туннель . я же говорю получится как будто интернет получают по PPTP.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Владимир, если сделать "как будто Интернет получают по PPTP", то Интернет может быть и будет, а вот со связью между офисами будут большие проблемы из-за NAT.
В конце концов, почему не гнать Интернет просто в WAN, без IPSec, шифровать же его всё равно бессмысленно?
B на конце DFL ловить из "голого" WAN?