как настроить впн туннель ipsec, что бы не только локальный трафик шел через впн, но и интернет

Вероятно, кроме Вас никому больше не понятно, что Вы хотите.
Тут не "битва экстрасенсов". Чужие мысли читать некому.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

главный офис 192.168.1.0
удаленный 192.168.4.0

настраиваю vpn ipsec:
local subnet 192.168.4.0
mask 255.255.255.0

remote subnet 192.168.0.0
mask 255.255.240.0

впн туннель поднялся. пакеты между сетями ходят нормально.

я хочу сделать, чтоб удаленный офис юзал интернет через впн туннель. не только локальный трафик.

Не знаю как на DSR, но на DFL это делается одним правилом в головном офисе:
NAT IPSec/remote-lan wan/all-nets all-services

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

DSR не умеет делать ИПСЕКИ с АLL-Nets.
тема поднималась - но кажется так и не была решена , по выше указанной причине.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

в головном офисе у меня kerio control appliance стоит.
вы уверены, что эта настройка задается на головном роутере? а не на удаленных dsr250n...

ну если так , то просто сделайте маршрут через ваш ИПСЕК , с NATOM, а на кериао опять занатите .
но не думаю что получится на DSR занатить , тк Вы указали
remote subnet 192.168.0.0\24

а сюда например не вписывается 8.8.8.8 , и следовательно пойдет по приемлиемому маршруту, дефолтному .
если сможете прописать remote subnet 0.0.0.0\0 на вашем удаленном офисе - то есть шанс что может получится .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

я пробовал 0000. выдается ошибка. типа начинаться должно с 1-223

увы .....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

что есть из аналогичных роутеров без таких глюков как dsr? у меня в удаленках 5-10 человек

на латвийских я такое не решал ... но полагаю что можно
или DFL

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

dfl260e?

Да.
Можно б/у DFL-210. Только все 3 кондюка сразу перепаять на новые.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Если конечно не ошибаюсь ... по спецификации IPSEC маршрутизируются только сетки на концах тоннеля ... поэтому отправить трафик на удаленный шлюз в другой сети не получится пакеты будут отброшены Вариант только поднимать VPN server на шлюзе в инет и коннектить к нему народ из другого офиса через ipsec, либо вместо IPSEc юзать GRE.....

ну может и по спецификации , но это частный случай .
у многих работает на форуме , у меня например, схема на DFL описана не раз.
большая и серьезная схема можно получить инет от прова, и какой то инет через туннель ( у меня например пров разрешает по локалке натянуть ипсек , чем я и пользуюсь ) балансировкой , резервированием , и прочими прелестями.

на DFL вполне реализуемая схема.....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку