Задача: Есть два DFL-860 в Омане и Казани. Между офисами поднят туннель IPSec. Сеть в Казани 192.168.0.0/24, сеть в Омане 192.168.5.0/24. В Омане запрещен скайп. Требуется трафик скайпа перенаправить через шлюз Казани.
Что я сделал: Добавил подсети скайпа и объединил их в группу. Указал маршрут Interface Kazan_IPSec Network Skype_nets Gateway Kazan_Gateway Метрика 95
Kazan_gateway - лан адрес маршрутизатора в Казани.


Прописал правила разрешающие хождение трафика через Kazan_IPSec во все сети в обе стороны.

В Казани также добавил правило разрешающее хождение трафика с Oman_IPsec на интерфейс wan1
Видимо этого недостаточно, ибо не работает. Возможно я не совсем понимаю логику. Подскажите, как правильно прописать маршруты и правила?

Казанские маршруты и правила

для начала вам надо переподнять туннели с параметрами ALL-NETS/

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А разве параметр Remote Network, не только лишь для создания маршрута?
Ок. Изменил Remote Network на all-nets в параметрах туннеля со стороны Омана. Поставил метрику 110, иначе инет весь туда пойдет. И добавил 2 маршрута с метрикой 90 в сети Скайпа и сеть Казани. Но это не работает.

перед тем как делать озабодьтесь о б путях отступления ( бекапы , альтернативные условия доступа до удаленного оборудования )

правильно ,
я бы рекомендовал на обоих сторонах поставить как LocalNet так и RemoteNET ->> All-nets
затем снимите галочку на создание маршрута автоматически ( на обоих DFL)
закладка маршрутизация
1-MTU =2000 (туннель повеселей будет )
2-IP адрес установить "определить в ручную " и выставить из выпадающего списка LAN_ip (каждый для своего)

написать маршруты в ручную для локальных сетей - проверить правила .
на удаленном Омане , сделать маршрут который состоит из группы адресов скайпа . и завернуть его в туннель + правила , для этого надо . что вы разрешаете этот траффик .

на стороне Казани .
сделать правила которые разрешают из вашего туннеля NATится на ваш WAN .
ну и я бы еще сделал что натятся эта же группа скайпа . но уже в туннель .( не знаю нужно или нет )

ну и как говорится - сохранить и применить

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Еще есть у меня сомнения... Для маршрута Скайпа на Оманском роутере Gateway какой указывать? Локальный IP казанского роутера или внешний IP wan1?

Работает!!! Пинг пошел! Спасибо огромное за подробный ответ!

туннель

пока вы не помете логику устройства - будет сложно. понимайте что у вас не за шлюзом каким то лежит а за ТУННЕЛЕМ !а туннель - это интерфейс

а при правильных и верно настроенных альтернативных таблицах - можно пользователей гонять по разным выходам в инет

но это будет другая история второй этап так сказать игрушки с сетями

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Логику то я как раз и пытаюсь понять. Как мне казалось ранее: приходит пакет - смотрит маршрут - смотрит правила - отправляет пакет. Параметры туннеля, считал я, исключительно для создания маршрутов в автомате. Оказалось нет. Но я так и не понял, почему со стороны Казани тоже нужно указывать all-nets.
По поводу шлюза. В мануалах сказано, что если сеть назначения лежит непосредственно за туннелем, то шлюз указывать не обязательно, в остальных случаях указывается.

пакету надо знать не только как достигнуть цели - но и как вернутся
ну так у вас сеть лежит же за туннелем .
а вообще - у меня понимание работы туннелей пришло после инструкции
http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc
понимание приходит сразу , если много дфлей - да и начинаются хотелки подобно вашей

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Большое спасибо за помощь! Буду разбираться.

просто параметр ALL-Nets , отвечает за то от каких сетей будет ходить траффик в туннеле , тк Вы не задаете явное создание маршрута , а делаете его руками , то по сути этот параметр, в параметрах туннеля , утрачивается , но вы будете помнить что написав соответствующий маршрут - он пролезет туда , потому что туннель с ALL-NETS, и там можно ходить любому трафику от любого источника и любого приемника. а вот маршрутами , и правилами вы уже ограничите эти источники и назначение ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

позволю себе задать вопрос..

после того, как я поднял тунель с allnets, написал роутинг для локалки и allnets в туннель, логично, что у меня пропадает доступ на dfl снаружи...
как бы его вновь открыть? какой роутинг написать, не могу понять....

viewtopic.php?f=3&t=29666

Серия DFL: Пример настройки PBR от пользователя YuriAM
- ответ по двум WAN портам: viewtopic.php?t=65359&start=14

Сделать по аналогии

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

только немного призадумался, как писать алльт маршрут, когда у меня pppoe интерфейс....
при обычном подключении то ясно... wan1 all-nets wan1_gw