Ситуация:
три офиса. 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24.
192.168.0.0 и 192.168.0.1 соединены прямым проводом. Шлюзы 0.5 и 1.5 соответственно. Оба настроены, чтобы пропускали трафик из 0-й сети в 2-ю.
По адресу 1.1 установлен dfl-210. На нем поднят VPN, на втором конце VPN-а стоит DFL-700, у которого локальная сеть 192.168.2.0/24
Задача - видеть из сети 2.0 машины в сети 0.0.
________
Что пробовали: dfl-700 позволяет для туннеля задать две удаленных сети через запятую. Соотвенно туннель там в графе remote network содержит запись: 192.168.0.0, 192.168.1.0.
У dfl-210 получается, что надо объяснить, что у него две локальные сети на IPSEC интерфейсе. Задать через запятую - не получается.
Соответственно на DFL-210 cоздан второй туннель, полностью идентичный первому за исключение локальной сети - указана 0.0, а не 1.0.
Такой асимметричный туннель - с одной стороны один туннель с двумя подсетями, с другой - два туннеля, для каждой подсети свой - поднимается, но трафик, который в него отправляется, рубится дефолтным правилом firewall-а. Хотя firewall настроен по принципу "всем можно все".
Причем если отправить ping из сети 2 в сеть 0, то рубится - ответ.
________
Есть способ решить эту проблему?

неужели никто не знает?

Способ конечно есть. Суть такая же как и в DFL-700
Нужно создать группу адресов и согласно им настроить туннель.

спасибо, действительно работет