Таки здрасьте. Дано: кусок сети вида:

internet -> DFL_One -> IPSEC -> DFL_Two -> lan2 -> Server

Вопрос: как наколдовать проброс портов на Server из internet?
Стандартная пара SAT+Allow не работает, но это как-то не удивляет. IPSEC работает в полный рост, с ним все хорошо, между подсетями связь есть.

У меня прекрасно работает даже через 2 тоннеля:

internet -> [DFL1] -> IPSec1 -> [DFL2] -> IPSec2 -> [DFL3] -> lannet3 -> Server

Используйте правила SAT+NAT на DFL1

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

SAT + NAT вместо SAT + ALLOW ?
хм... Надо попробовать. И в таком случае на сервер чей IP прилетает? Первого DFL'а? А как бы сделать так, чтобы IP отправителя прилетал?

Как Вы себе это представляете, если используется NAT-правило ?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Не надо придираться к словам. Могу сформулировать иначе:
"Какие параметры (правила, маршруты, прочее) нужно прописать на обоих роутерах, чтобы работал проброс портов по указанной мной схеме? Причем требуется, чтобы к серверу приходили пакеты с оригинальным (внешним доступным) ip-адресом"
Так лучше?

тема обсосана не однократно !
туннели должны быть с ALL-NETS!!!!!!!!!!!!!!! Тогда все будут работать !
как настроить - описывал многократно !
Быстро - зрим в подпись.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Достаточно, чтобы all-nets было указано на стороне DFL, который и принимает запросы из интернета.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, спасибо. Логику понял, кажется. Будем посмотреть

Vladimir22, и незачем так кричать. Использовать all-nets по поводу и без повода - моветон, имхо. Мне описания конкретно моей ситуации не попадались, возможно плохо смотрел. А для того, чтобы пакеты бегали внутри одного туннеля между двумя сетями исключительно, all-nets не надо.

Поскольку Вы пишете, что то Вам достаточно пары правил SAT+NAT.

Такое возможно когда используется пара правил SAT+Allow. Но в Вашем случае с тоннелем следует использовать пару SAT+NAT.
Поэтому на входе на сервер будет отсвечиваться адрес lan_ip первого DFL, а не внешний IP запроса из интернета.

Никак, имхо.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...