Есть несколько вопросов, прошивка 1.43:

1. Как запретить NAT-ить _на_все_ адреса, кроме некоторых? Я пробовал делать разрешающее правило на 1 адрес + запрещающее на все - действуют только запрещающее на все, независимо от порядка их расположения.

2. Есть 2 DI-804HV с локальными адресами 10.0.1.254 и 10.0.2.254, у них локальные сети 10.0.1.0 и 10.0.2.0 соответственно. Между ними поднят IPSec-туннель. За вторым устройством стоит шлюз с адресом 10.0.2.1 в сеть 10.0.3.0. На первом прописываю шлюз в третью сеть 10.0.2.254, на втором прописываю шлюз в третью сеть 10.0.2.1. В результате локальные сети 1.0 и 2.0 между собой пингуются, а при попытке пинга из сети 1.0 адрес из сети 3.0 (например, 10.0.3.1), пакеты начинают идти не в туннель, а через внешний интерфейс наружу. Как настроить правильно и возможно ли это?

3. Есть 3 DI-804HV с локальными адресами 10.0.1.254, 10.0.2.254 и 10.0.3.254, у них локальные сети 10.0.1.0, 10.0.2.0 и 10.0.3.0 соответственно. Подняты 2 туннеля - 1<-->2 и 2<-->3. Маршруты прописаны, но из 1-й подсети 3-я не доступна. Это баг или фича?

Заранее спасибо.

Никто с таким ни разу не сталкивался?

Аналогичная проблема.
есть 3 сети:
10.1.1.0, 10.1.2.0, 10.1.3.0
Между 10.1.1.0 и 10.1.2.0 vpn туннель организованный с помощью 2х DI-804HV с адресами 10.1.1.254 и 10.1.2.254 соответственно.
DI-804HV подключены в свичи с обоих сторон, машины из сети роутятся через 10.1.1/2.254.
Есть сеть 10.1.3.0 которая програмным vpn 10.1.2.253 связана с 10.1.2.0. Из 10.1.2.0 свободно ходим в 10.1.3.0
Чтобы попасть из 10.1.1.0 в 10.1.3.0 на роутере 10.1.2.254 прописал правило - в 10.1.3.0 ходить через 10.1.2.253.
В итоге: пинг из 10.1.1.0 на 10.1.2.253 проходит, пинг в сеть 10.1.3.0 не проходит, при попытке трассировки эту сеть, трасса обрывается на WAN интерфейсе 10.1.2.254го маршрутизатора.

1. Как запретить NAT-ить _на_все_ адреса, кроме некоторых? Я пробовал делать разрешающее правило на 1 адрес + запрещающее на все - действуют только запрещающее на все, независимо от порядка их расположения.

> Это устройство так делать не может, выборочно НАТить не умеет. По умолчанию натит всё что выходит из WAN

2. Есть 2 DI-804HV с локальными адресами 10.0.1.254 и 10.0.2.254, у них локальные сети 10.0.1.0 и 10.0.2.0 соответственно. Между ними поднят IPSec-туннель. За вторым устройством стоит шлюз с адресом 10.0.2.1 в сеть 10.0.3.0. На первом прописываю шлюз в третью сеть 10.0.2.254, на втором прописываю шлюз в третью сеть 10.0.2.1. В результате локальные сети 1.0 и 2.0 между собой пингуются, а при попытке пинга из сети 1.0 адрес из сети 3.0 (например, 10.0.3.1), пакеты начинают идти не в туннель, а через внешний интерфейс наружу. Как настроить правильно и возможно ли это?

> Дело в том, что при установке IPsec туннеля создаётся SPD, в которой описано какой трафик мы принимаем для вхождения в туннель, и если принмаем, то от кого. По этому маршрутизация как и ответ от "чужой" сети не возможен. Выходов
1. Натировать перед входом в туннель(что бы были только родные сети)
2. Использовать супернеттирование(расширение маски, чтобы обе сети были описаны при создании туннеля В вашем случае можно исползовать маску 192.168.2.0/23, т.е. один туннель будет объединять в себе 2 сети (192,168,2,0-192,168,3,0) Соотвесвенно нужно добавить строчку в РоутингТабле девайса, чтобы он знал где находится вторая подсеть

3. Есть 3 DI-804HV с локальными адресами 10.0.1.254, 10.0.2.254 и 10.0.3.254, у них локальные сети 10.0.1.0, 10.0.2.0 и 10.0.3.0 соответственно. Подняты 2 туннеля - 1<-->2 и 2<-->3. Маршруты прописаны, но из 1-й подсети 3-я не доступна. Это баг или фича?

> Это как-то относится к вопросу 1. Если нет, то описаная функция называется Hub'n'Spoke, но данное устройство её не поддерживает

2 Stanislav Kozlov:
А Если мне надо попасть с 10.0.1.0 на какойто 4й адрес, допустим 172.17.2.2, маршрутизация на который обеспечивается через 10.0.2.253.
С vpn-роутера 10.0.2.254 (с настроеным на нем правилом на 172.17.2.2 ходить через 10.0.2.253) пинг на 172.17.2.2 проходит, а с роутера 10.0.1.254 нет. Можно чтото придумать?

Пока нет возможности создавать два туннеля к одному и тому же peer'у
Будет реализовано в след. прошивках.

Хорошо а можно ли поднять туннель в диапазоне одной сети 10.0.1.0? Если да, то мне не прийдется настраивать роутинг Dlink-ом

Если честно не понял что Вы имеется в виду

Есть 2 географически разнесенных сети 10.0.1.1-10.0.1.100 и 10.0.1.101-10.0.1.200, соединены бриджом. Могу ли я поднять туннель между этими сетями не меняя адресации?

Можно, если маски у них будут соответствующие.