Здравствуйте !
Настроил работоспособный IPsec-туннель между двумя DFL.
Доступ к удаленным сетям через IPsec-туннель в обоих направлениях есть.

Далее настроил доступ к удаленным сетям DMZ-интерфейсов каждого DFL:
1. Прописал по два правила на каждом DFL (аналогично ранее настроенным для LAN-интерфейсов)
2. На каждом DFL прописал разрешение пинговать его DMZ-адрес через IPsec-туннель.
НО ДОСТУПА НЕ ПОЛУЧИЛ НИ В ОДНУ СТОРОНУ

3. Пинговал с компов и из самого DFL на удаленные Компы и DFL с двух сторон. По логам видно, что пинг уходит через IPsec-туннель, но на другой стороне НИЧЕГО В ЛОГАХ НЕ ВИДНО.
4. Пробовал менять в настройках IPsec-туннелей MTU с 1420 на 1320 и даже 1472 - НЕ ПОМОГЛО: НЕТ НИ ДОСТУПА НИ СЛЕДОВ ПИНГА НА ДРУГОЙ СТОРОНЕ

Вроде простая задачка, а куда дальше копать не знаю.
Подскажите пожалуйста

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо, проанализировал:
Обратите внимание на начало и конец стрелок правил:
иногда правило прописывается от участника и на всю группу


Настроил у себя тоннель и по два правила на каждом DFL:
Обратите внимание на начало и конец стрелок правил:
иногда правило прописывается от участника и на всю группу


IPsec-маршруты все поднялись:


А БОЛЬШЕ НИЧЕГО НЕ ИЗМЕНИЛОСЬ: ПИНГИ НЕ ПРОХОДЯТ ДОСТУПА НЕТ !

не верно проанализировали .
сразу говорю . такое возможно .
у меня например
клиент PPTP имеет доступ к DMZ , через IPSEC.
анализируйте еще . ход мыслей верный . но не верно восприятие .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо за инструкцию: Уже прогресс маршруты появилсиь - раньше только один был.
Да, что-то пока еще не так: Маршрутов почему-то только три и не симметричные они
Из А в В:

Из В в А:

Группы прописал вроде правильно: вначале локальная сеть, потом удаленная:

Как влиять на перечень этих маршрутов ?

маршруты можно создавать руками . убрав галочку , с автоматического создания маршрута .
я бы лично , дабы исключить гиморой с пониманием и группами . сделал бы туннели с All-Nets.
тогда вся эта группировка в настройках туннеля отходит на второй план.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Речь идет не о настоящих марштрутах, а о записях IPsec-туннеля.
И почему три записи, а не четыре ?


Сделал - НЕ МОМОГЛО !
НО ПОЧЕМУ СЛЕДЫ ПИНГОВАНИЯ НЕ ВИДНО В УДАЛЕННОМ DFL ?
По-моему, это говорит о чем-то, не связанном с правилами: если бы правила были неправильные - было бы видно, что пинг не проходит через локальный DFL или на удаленном DFL не пропускается !

ну так
статус -> соединения куда пихается пинг . а потмо смотреть на удаленном DFL, выходит ли от туда .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

да, только я смотрел журнал.
Спасибо за идею - помсмотрю соединения

Vladimir22 !
Большое спасибо, что не позволили иссякнуть мыслям по поиску решения.
НАШЕЛ ПРИЧИНУ ОТСУТСТВИЯ ДОСТУПА:
НАДО БЫЛО ОБЪЕДИНИТЬ В ГРУППУ ИНТЕРФЕЙСЫ LAN И DMZ !
В итоге общее решение задачи:
1. В настройках IPsec-туннеля указать группы локальных и удаленных подсетей. - БЫЛО СДЕЛАНО (было в упомянутой Vladimir22 инструкции)
2. В правилах надо было оперировать группами локальных и удаленных подсетей. - БЫЛО СДЕЛАНО
3. В правилах надо было оперировать группой интерфейсов LAN И DMZ. - СДЕЛАЛ ТОЛЬКО СЕЙЧАС И ПОЯВИЛСЯ ДОСТУП !
Еще раз спасибо
Надеюсь кому-то пригодится

P.S. Если в настройке хотя бы одного IPsec-туннеля НЕ указать группу, а только одну удаленную сеть и маршрут прописать вручную, то ДОСТУПА НЕ БУДЕТ. значит п.1 и .п.3 особенно важны !

ну и славно , логика то верна
и оно работает , потому что работает у меня .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку