Скажите кто-нибудь, почему не получается такая вещь на DFL-210? Мож че не так делаю!

есть основная сеть 192.168.1.0/24 (главный офис), есть удаленные офисы (192.168.х.0/24, где х=2, 3, ...), между ними VPN на DI-804HV, шлюз к удаленным офисам(миницентрам) 192.168.1.254

в главном офисе есть DFL-210 (192.168.1.2), через него можно вылазить в инет, что собственно все и делают без проблем. А проблема вот в чем: на любом компе стоит один основной шлюз 192.168.1.2 - для инета, а чтобы попасть на миницентры нужен шлюз 192.168.1.254. т.е. если мы хотим попасть на миницентр, к примеру на адрес 192.168.2.1, нужно на компе прописать маршрут:
сеть: 192.168.2.0/24
шлюз: 192.168.1.254
но чтобы не прописывать все маршруты до каждого миницентра на каждом компе, я прописываю эти маршруты на DFL.
И по идее пакет должен пойти сначала от компа на DFL (192.168.1.2), потом на 192.168.1.254 и потом по VPN до миницентра. Когда я вместо DLF использовал DSL-500 все так и было, а вот DFL зарубает такие пакеты, как быть?

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

маршруты:
интерфейс: lan
сеть: 192.168.х.0/24
шлюз: 192.168.1.254

где х=2, 3, 4 ...

2 правила:
имя 1: Allow_ping_outbound
действие: Allow
сервис: ping_outbound
ИСТОЧНИК:
интерфейс: lan
сеть: all_nets
НАЗНАЧЕНИЕ:
интерфейс: lan
сеть: all_nets

имя 2: Allow_all_services
действие: Allow
сервис: all_services
ИСТОЧНИК:
интерфейс: lan
сеть: all_nets
НАЗНАЧЕНИЕ:
интерфейс: lan
сеть: all_nets

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

DI не может маршрутизировать в IPSec, поэтому вы не сможете сделать для IPSec маршрутом по умолчанию на DI.

погодите, проблема не в DI, а в DFL, когда я вместо DFL ставлю DSL-500 то все работает отлично! а когда стоит DFL, то пакеты из lan в lan обратно не попадают.
ВОТ TRACE на 192.168.2.1 когда стоит DSL-500:
...192.168.1.2
...192.168.1.254
...192.168.2.1

А вот Trace туда же когда стоит DFL-210:
...192.168.1.2
* * * Превышен таймаут ожидания

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

Trace идет с компа 192.168.1.3

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

Видимо я несовсем понял ситуацию, кроме как прописывание маршрутов на DFL, надо еще создать правила которые бы разрешили доступ в удаленные сети, вы их создали?

да!

имя 2: Allow_all_services
действие: Allow
сервис: all_services
ИСТОЧНИК:
интерфейс: lan
сеть: all_nets
НАЗНАЧЕНИЕ:
интерфейс: lan
сеть: all_nets

правило разрешает прохождение любых пакетов из lan в lan.
еще интересно: пинг с самого DFL идет без проблем, т.е. он блокирует только пакеты которые приходят из lan.
и еще: в log'ах пишет что срабатывает правило Allow_all_services, источник и назначение - lan. В event пишет Conn_Open при установлении соединения, а при закрытии Conn_Close/Close - т.е. все как положено! но пакеты не проходят!

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

я уже бьюсь с этим почти пол-года, живу от прошивки до прошивки! недавно новую (последнюю) установил, то же самое!

Такая вещь хорошоя, а из за небольшой мелочи, в работу пустить никак нельзя!

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

для уточнения небольшой кусочек из нашей схемы:

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

это как сейчас все стоит! а я хочу вместо 500T поставить DFL-210. точнее 500-й останется как модем (в режиме моста короче) а перед ним будет DFL роутить

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

Насколько я понял, вы совершенно спокойно можете установить DFL c двумя WAN интерфесами, ликвидируя таким образом DI-804? Тогда в вашей схеме будет единственный маршрутизатор. без необходимости рутить пакеты повторно через LAN.

В случае простой замены 500T на DFL в таблице маршрутизации main должны быть маршруты вида

Route lan net_192_168_2_0 ip_192_168_1_254 90
Route lan net_192_168_3_0 ip_192_168_1_254 90

PS. Дали вы бы лучше удаленный доступ к Вашему DFL в режиме аудита, чтобы посмотреть вашу конфигурацию.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это идея, попробую потом. они просто далеко друг от друга, сеть еще надо проводить.
да и DMZ я хотел под серваки пустить, Web, FTP....

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

и все же, что еще может быть! что еще сделать?

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

ну не может же такого быть, чтоб на такой штуке такой глюк был!
HELP...

_________________
Из того что я потерял в жизни, мне больше всего жаль разум

Я проверил маршрутизацию, на lan, отрабатывается без проблем, видимо дело в настройках отдельных элементов вашей толологии.