Добрый день, коллеги!
Всех с наступающим Праздником!

Помогите пожалуйста, мыслью: как правильно и самое главное грамотно реализовать следующую задачу.

Есть три сети и три маршрутизатора. Пользователи каждого маршрутизатора должны видеть (разумеется по правилам) все сети и разрешённые ресурсы в них. Однако, если два маршрутизатора через IPSEC устанавливают связь друг с другом и маршрутизация нормально работает, то сеть от третьего роутера физически приходит ко второму (пользователи сети 12.0 должны ходить в инет через 11.0, так как по сути там радиомост). И вот тут я не понимаю: куда втыкаем WAN третьего роутера и как строим маршруты. Ведь можно наверное реализовать и через неиспользуемый WAN2 и через один из портов LAN при выделении внутреннего адреса второй сети для WAN-порта роутера третьей сети...

Графически это так:
NET10.0 (DFL860) - Internet (IPSEC) - NET 11.0 (DFL860) - ??? - NET 12.0 (роутер другого производителя, не суть)
(то есть NET 11.0 и NET 12.0 по сути находятся в одной локальной сети)

Сейчас реализован режим когда 12ая сеть по сути является 11ой, а внутри работают правила доступа для конкретных IP, но не нравится мне это решение...

К IPSEC вопросов нет, всё работает от коннектов и маршрутизации до правил.

СПАСИБО за мысли!

http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc
читать - вникать .
Поймете принцип - все будет нормально .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Главная "засада" в том, что IPSec имеет собственные ACL -- если Вы на маршрутизаторе "10.0" прописали сеть "11.0" как Remote Net (а на "11.0" соответственно как Local Net), то трафик из/в "12.0" в туннель лезть откажется. Самый простой способ избежать геморроя -- прописывать all-nets для Remote и Local. Правда, в этом случае маршруты придется создавать вручную (снимите галки для авто создания), но в более/менее сложной конфигурации так оно и нагляднее.

еще стоит прописать еще несколько параметров если туннели будут с All-Nets.
создание таких туннелей я описывал не однократно .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ок, спасибо за советы и ответы, буду разбираться. Просто обнаружил, что вышла 10ая версия прошивки, что стало сюрпризом