Здравствуйте!
В пятницу взяли у вас на тестирование два файрвола DFL-210 для соединения двух локальных сетей.
Но уже четверг, а установить соединение так и не получается.
Опишу задачу, и как мы пробовали ее решить.

Существуют две локальные сети:
1. Сеть главного офиса - 192.168.0.xxx ,маска подсети - 255.255.255.0
2. Сеть филиала - 192.168.1.xxx , маска подсети та же - 255.255.255.0

Для обоих офисов подведен интернет от одного провайдера. Интернет дается по след схеме:
В телефонную линию врезан адсл-модем, работает в режиме бриджа (со слов прова), модем прошит под настройки прова и переконфигурации не подлежит. От модема патчкорд приходит в свитч Зиксель,
К которому в один порт подключен ВоИП шлюз прова. Со слов прова, для подключения инета, мы должны соединить сетевую карту компа с их свитчем после адсл модема и назначить карте
внешний ИП адрес - 91.188.171.xxx , маску подсети - 255.255.255.254 , шлюз и ДНС сервера. При вышеописанном подключении компа, он выходит в инет и пингуется по внешнему ИП-адресу.

Подключение по такой же схеме имеем и в другом офисе.
Необходимо установить VPN соединение, используя IPSec.
Далее, следуя инструкции, прилагаемой на диске с DFL-210, установить соединение не удалось, после чего я был направлен читать ФАК.
В ФАКе конкретно моей задачи не описано, поэтому стали настраивать по самому близкому к нашей задаче -"Настройка IPSec тоннеля между межсетевыми экранами DFL-210/800/1600/2500 и маршрутизаторами DI-8ХХ" http://dlink.ru/technical/faq_vpn_25.php
Двай файрвола были подключены прямыми патчкордами к свитчам Зиксель, а кросс-оверными - включены в локальные сети.
После, оба были прошиты последней прошивкой 2.20.00 с сайда длинк.
На стороне Главного офиса соответственно было настроено:

DFL:
Внутренняя сеть (lannet): 192.168.0.0/24
IP на WAN (wan_ip): 91.188.171.xxx

IPSec_remote_net: 192.168.1.0/24
IPSec_remote_endpoint: 91.188.171.xxx

добавлен pre-shared key с паролем

Затем, добавлен IPSec туннель с настройками из ФАКа:

Name: Tunnel
Local Network: lannet
Remote Network: IPSec_remote_net
Remote Endpoint: IPSec_remote_endpoint

Encapsulation Mode: Tunnel

В Algorithms

IKE Algorithms: Medium
IKE Life Time: 28800
IPsec Algorithms: Medium
IPsec Life Time: 3600

Здесь отмечу, что в настройках туннеля в нашей прошивке был еще пункт IKE Config Mode: с раскрывающимся списком, но в списке значений не было, поэтому мы оставили по умолчанию, т.е. (NONE)
Затем, на второй вкладке Authentication был назначен Pre-shared Key.

Далее, по ФАКу были созданы 2 правила:

Name: IPSec_to_lan
Action: Allow
Service: all_services

В Address Filter

Source:
Interface: tunnel
Network: IPSec_remote_net

Destination:
Interface: lan
Network: lannet

И второе правило:

Name: lan_to_IPSec
Action: Allow
Service: all_services

В Address Filter

Source:
Interface: lan
Network: lannet

Destination:
Interface: tunnel
Network: IPSec_remote_net

Далее, Мы нажали Save & Activate.

В удаленном офисе мы настроили DFL-210 точто также,
только все адреса сделали относительно главного офиса:

DFL:
Внутренняя сеть (lannet): 192.168.1.0/24
IP на WAN (wan_ip): 91.188.171.xxx

IPSec_remote_net: 192.168.0.0/24
IPSec_remote_endpoint: 91.188.171.xxx

добавлен pre-shared key с паролем

Затем, добавлен IPSec туннель с настройками из ФАКа:

Name: Tunnel
Local Network: lannet
Remote Network: IPSec_remote_net
Remote Endpoint: IPSec_remote_endpoint

Encapsulation Mode: Tunnel

В Algorithms

IKE Algorithms: Medium
IKE Life Time: 28800
IPsec Algorithms: Medium
IPsec Life Time: 3600

Здесь отмечу, что в настройках туннеля в нашей прошивке был еще пункт IKE Config Mode: с раскрывающимся списком, но в списке значений не было, поэтому мы оставили по умолчанию, т.е. (NONE)
Затем, на второй вкладке Authentication был назначен Pre-shared Key.

Далее, по ФАКу были созданы 2 правила:

Name: IPSec_to_lan
Action: Allow
Service: all_services

В Address Filter

Source:
Interface: tunnel
Network: IPSec_remote_net

Destination:
Interface: lan
Network: lannet

И второе правило:

Name: lan_to_IPSec
Action: Allow
Service: all_services

В Address Filter

Source:
Interface: lan
Network: lannet

Destination:
Interface: tunnel
Network: IPSec_remote_net

Далее, Мы нажали Save & Activate.

Также, (в ФАКе этого не было), на обоих устройствах мы настроили
dnsserver1_ip 84.21.74.254
dnsserver2_ip 84.21.75.254
ДНС сервера которые дал пров
и wan_gw 91.188.172.xx
шлюзы которые дал пров.

После всего вышеописанного, сами устройства интрнет видели, пинговали Яндекс по ИП с двух устроиств из "Tools-Ping".
Однако, ВПН так и не заработал, и сами устроиства не пингуются из интернета по тем внешним статичным ИП адресам, которые мы им прописали.(Хотя может это нормально, они же Файрволы?)

Прошу совета, что и как мы делаем не так, первый раз с этим связались, если бы были крутыми сетевыми инженерами, не писали бы сюда. Можно, конечно, взять устроийства полегче, типа DI-8ХХ, с ним настройка проще описана, но нам рекомендовали эти, потому что кол-во машин в сети главного офиса перевалило за 20.

Проверено не раз. Работает.

И у меня работает.
Вопрос примерно по теме.. недавно было но найти не могу.
Как корректно прописать 2 удалённые подсети.
Указывать 2 подсети серез "," и также ланы ???
Или указываю одну подсеть как удалённую а в удалённой сети 2 подсети?

Указываются две удаленных подсети, объединяются в группу, а эта группа подставляется в remote net.

Работает.
Создал подсеть и хост, объеденил в группу. Просто правила перебить надо было с лан нет на лан груп.

Все получилось, всем спасибо, проблема была в неправильном указании подсетей через ип адрес и отношения типа этого - 192.168.0.0/24. В мануале, кстати, на счет того, как правильно расчитать отношение это вообще тишина, могли бы и пару слов написать об этом Не все ж такие умные