DFL-201 DMZ(wan2) интерфейс выставлен в городскую сеть ip 10.175.166.233 поднят PPTP сервер, к нему (в другом конце города) цепляется DI-804 c ip 10.175.166.234 и раздает интернет в локалку 192.168.168.0/24 при этом DI-804 получает ip 192.168.3.150 от DFL-210, lan_ip на DFL-210 192.168.1.2.

Необходимо поднять IPsec тунель между 192.168.168.0/24 и 192.168.1.0/24 не получается. (поправка тунель встает с пол пинка, пакеты не ходят)


уточнение:
dfl-210 (wan занят под интернет через PPPoE)
wan2(dmz) ip 10.175.166.233/29
lan 192.168.1.2
ipsec tunel:
local net - 192.168.1.0/24
remot net - 192.168.168.0/24
remot gateway - 10.175.166.234

DI-804
wan_fiz 10.175.166.234/29
wan 192.168.3.150 или 192.168.1.150(пробовал и так и так) получает от DFL-210 как клиент PPTP
lan 192.168.168.2/24
ipsec tunel:
local net - 192.168.168.0/24
remot net - 192.168.1.0/24
remot gateway - 10.175.166.233


Что делал:
1. создал IPsec tunel (oz_tunel) (см. выше)
2. создал правила:
а) allow - lan/lan_net - oz_tunel/oz_net - all_services
б) allow - oz_tunel/oz_net - lan/lan_net - all_services
итог тунель поднимается без ошибок но пакеты не ходят, я понимаю что для DI-804 после установления PPTP сессии шлюзом по умолчению является 192.168.3.150.
О, пока писал появилась мысль может надо на DI-804 прописать маршрут на 192.168.1.0/24 вот только на какой IP? на 192.168.168.2(lan DI-804) или на 192.168.3.150 или на 10.175.166.234?
проблема заключается в том что я не имею доступа к сетям 192.168.168.0 и 192.168.1.0, так как управляю DFL-210 через интернет из другого города, DI-804 управляю через другой тонель и другой канал на другом DI-804.
В связи с этим вопрос:
может-ли DFL-210 своей утилитой ping достать(пинговать) интефейс 192.168.168.2 при (правильно) поднятом IPsec?

схема вполне работоспособная. Как прошивка установлена на DI-804HV? На старых версиях были проблемы с маршрутизацией.

Firmware Version: V1.44, Fri, Nov 24 2006

Ау титаны!!! на вас надежда, саппорт длинка дал настройки, но они такие же как и у меня, у них говорят работает, а у меня нет.

саппорт, ничего личного!

настройки Сергей Васильев Вам уже предоставил. Схема была собрана в нашей тествой лаборатории и проблем обнаружено не было. Обращяю Ваше внимание, что прошивка должна быть последняя 1.44b11

Firmware Version: V1.44, Fri, Nov 24 2006

а это не она?

да я веду переписку с Сергеем Васильевым, но проблема на мой взгляд в другом:
итак:
ТУНЕЛЬ ПОДНИМАЕТСЯ БЕЗ ПРОБЛЕМ И ОШИБОК, НЕ ХОДЯТ ПАКЕТЫ
извините за крик, но шлюзом по умолчанию для DI становится ip присвоеный РРТР клиенту (192.168.1.150) и соответствено пакеты отправляются на этот шлюз где их никто не ждет, может быть можно разрулить ситуацию при помощи маршрутизации, но чтото не догоняю как, поэтому прошу помощи, где я ошибаюсь на ваш взгляд? прошу ответить на вопрос, так как Сергей не отвечает на эти вопросы (Сергей ничего личного, понимаю, работа!) Спасибо
зы. аппарат МОНСТР (210)

к сожалению дополнительные билды (b11) не показываются в статусе. По-этому нужно поставить последнюю прошивку. б11

о как оперативно, спасибо, и вы тоже игнорируете вопрос, забавно, обновите страницу я поправил чуть чуть свой пост
зы обновлю попробую, но это в другом городе, понимаете о чем я

Я уже писал в посте, что схема работоспособна, и мне кажется что проблема в прошивке.

а как же маршрут по умолчанию для DI?
да, "политика партии" в ответах
не обижайтесь, но прошил не фурычит, и Сергей сказал, что кофигурация теоретически должна работать.
цитата:
"Теоритически это потому что протестить вот так не смог, оборудование
со склада получить не смог (DI), протестить могу практически только в
понедельник, если это вас устроит."

диреХтУр меня скоро повесит (уволит, шутка, но в каждой шутке...)

А как маршрут по-умолчанию относится к туннелю? Сергей предоставит для Вас всю необходимую информацию, в понедельник. Схема которую Вы описали, работает.

брррррррррр не понял, маршрутизатру DI присваивает ip dfl-210 по PPTP и соотвествено этот ip 192.168.1.150 (см. выше первый пост) является для DI шлюзом по умолчанию, все пакеты по здравому смыслу отсылаются туда, если нет особых указаний в таблице маршрутизации, дайте телефон если можете, может по телефону будет проще

неужели я так туплю, невероятно, стаж большой, ткните носом

Сергей, имея конфиги всё Вам расскажет. в понедельник