Простите заранее если такой вопрос уже задавался, я не нашел ответа.
Суть в том что есть центральный офис и 2 доп офиса. центральный соединен VPNом и дополнительными, но дополнительные между собой не соединены.
Оборудование стоит D-LINK 210 на всех 3-х.
Т.е. схема получается A<-B->C.
Реально ли как-то прокидывать пакеты из Сети А в сеть С и какие нужны настройки роутинга чтобы сеть А понимала что за сетью B есть еще и сеть С и что надо ходить в не ечерез сеть В?

...ушёл за хрустальным шаром (с).

Если везде стоят DFL-210, то совершенно реально.

Каким типом канала соединены? IPSec, PPTP?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Соединены IPSec. Но в узле А стоит циска 515, остальные Длинки 210.
В каком направлении копать Длинки не подскажете?
Просто не могу понять как роутинги прописывать в них.

На Сегменте A-B делаете следующее на обоих концах:
в настройках IPSec и в разрешающих правилах заменяете объект, содержащий сеть B на группу, включающую сети B и C. При этом маршрутизация поправиться автоматически вслед за изменениями настроек IPSec.

На сегменте B-C аналогично.

Что делать на Cisco не в курсе.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Угумс.
Т.е. я правильно понял что у нас есть
ЖелезкаА: LAN 192.168.2.1, WAN AAA.AAA.AAA.AAA
ЖелезкаB: LAN 192.168.1.1, WAN BBB.BBB.BBB.BBB
ЖелезкаC: LAN 192.168.3.1, WAN CCC.CCC.CCC.CCC

По дефолту у нас настроено туннелирование трафика из А->B 192.168.2.1 в 192.168.1.1 и обратно и из С->B 192.168.3.1 в 192.168.1.1 и обратно.
В длинке на узле А мы создаем вместо 192.168.1.1 группу включающую в себя сети 192.168.1.1 и 192.168.3.1 и подставляем в туннелирование на адрес BBB.BBB.BBB.BBB. И аналогично поступаем с узлом С. Правильно я понял? В узле В сделать одинаковые группы для тоннелей А и С так?
(В циске создавание групп сетей есть)

Всё так.

Спасибо большое. Буду пробовать.

у меня такая же схема,все A,B,C - DFL-210
...что-то я не очень понял что нужно сделать на промежуточном D-link'e(B),можно поподробнее на этом моменте?

В обоих настройках тунелей в меcто local_net= LAn_B, добавьте группу из LAn_B+Lan_C для тунеля в сторону сети A, и наоборот LAN_B+LAN_A для тунеля в сторону сети C.

Читайте внимательно. Изменять надо на всех. Смысл изменений в том, чтобы указать удаленному узлу (А) что другой удаленный узел (С) искать в промежуточном узле В. И таким образом, со стороны В указывать не одну сеть B, а все удаленные сети (В и С). А также D, E и т.д., если удаленных сетей много.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В схеме A<-B->C
на фаерволе A в IPsec туннеле нужно указать помимо сети В и удаленную сеть С.и аналогично на файрволе С.это я понял.
я не понял что нужно исправить на Файрволе B!....

И снова здравствуйте.
Получил я наконец 3 DFL210 и собрал из них сеть.
В итоге получилось:
Lan_A - 192.168.1.1
Lannet - 192.168.1.0/24
Wan_A - 195.14.50.1

Lan_B - 192.168.2.1
Lannet - 192.168.1.0/24
Wan_B - 195.14.50.2

Lan_C - 192.168.3.1
Lannet - 192.168.1.0/24
Wan_C - 195.14.50.3

Поставил на них тоннели как обычно, все работает, т.е. А пингует В и обратно, а также С пингует В и обратно.

Далее сделал следующие изменения в IPSec:
Узел С -
аналогично и в узле А
В работе после этого ничего не поменялось.
Узел В -
если делаю вот так - то перестает пинговаться узел C с узла B.

Попробовал поиграться с IPRules в итоге получилось следующее:
Узел С -
Аналогично и на узле А
Узел В -
Пинги из сети А в сеть С и наоборот не ходят. =(

В логах пишутся следующие ошибки:
Узел С -

Узел B -

Помогите пожалуйста понять что я делаю не так?

Все более или менее правильно. Логика настройки верная.

Только вот для транзитного прохождения трафика через узел B надо написать 2 разрешающих правил вида

From_A_to_C Allow Tunnel_A Lan_A Tunnel_C Lan_C all_services
From_C_to_A Allow Tunnel_C Lan_C Tunnel_A Lan_A all_services

Или сгруппировать внутренние интерфейсы и сети и написать всего одно разрешающее правило для разрешения внутреннего трафика

Internal_Trafic Allow lan_all lan_nets lan_all lan_nets all_services

где lan_all - группа интерфейсов lan, Tunnel_A, Tunnel_C
lan_nets - группа сетей А, В, С.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Все заработало большое спасибо!

На втором узле следующие настройки:
IPSec -
IPRules -

На первом и третьем узлаз все осталось без изменений по сравнению с моим предыдущим постом.