Собрал такую схему для взаимодействия головного офиса и удаленного филиала. Между офисами один провайдер и канал связи 10Мбит.
Я в вопросах сетевой безопасности еще можно сказать новичок, есть ряд вопросов (возможно не очень умных ).

1. Как повлияет количество IpSec-туннелей на скорость работы удаленного филиала? Пока сделал один туннель, строго по мануалу, и в общем скорость устраивает, но все же интересно.

2. Вопрос по Ip Rules. Дело в том, что роутер подключен к корпоративному серверу БД, и очень не хотелось бы, что бы доступ к нему извне имел кто-то еще. Поэтому интересно, если я не вношу никаких дополнительных правил, по умолчанию доступ извне по wan запрещен или разрешен?
Я попытался из Линукса посмотреть открытые порты nmap'ом. Он вообще ответил, что такого хоста нет. Wan снаружи тоже не пингуется. То есть я так понимаю, что по умолчанию доступ закрыт?
Надо ли вносить какие-либо дополнительные правила?

Спасибо.

По поводу скорости, все зависит от количества туннелей, и какой алгоритм шифрование юзается, Посмотри статьи на IXBT про тестирование DFL-210, только учти что тест делался на первой прошивке, с тех пор много чего изменилось, много пофиксено, в некоторых случаях производительность повысилась, появилось много возможностей которых небыло при этом тестировании.

Тестирование DFL часть первая http://www.ixbt.com/comm/firewall-dlink-dfl-210.shtml
Часть вторая http://www.ixbt.com/comm/firewall-dlink-dfl-210_2.shtml
Часть третья http://www.ixbt.com/comm/firewall-dlink-dfl-210_3.shtml

Да по умолчанию доступ к WAN закрыт, но можно все что надо открыть, как и открыть удаленное управление по WAN

Спасибо за ответы.
1. А удаленное управление по wan как открывается?
2. И еще возникла одна проблема - не вижу удаленные компы в сетевом окружении. Рабочая группа одна.

Группа то одна, но подсети то всеравно разные, по IP адресу все работать будет.

Понял. По ip все работает отлично.
А удаленное администрирование роутером где открыть? или просто разрешить http-трафик на определенную группу хостов?

Хочешь IPSec его админить или по WAN?

админь по поднятому тунелю так лучше, а вообщем, надо разрешить управление, потом правило создать

Вобщем все изменть можно в System => Remote Management вот тут задается кто, что и откуда и как.

Все, настроил через IpSec. Самой большой проблемой оказалось найти пункт меню Remote Management