Есть три роутера один DFL-800 и два DFL-210
Поставлена задача объединить в локальную сеть два филиала и центральный офис.
Топология звезда, центральный узел DFL-800. По мануалу настроил IPSec между DFL-800 и DFL-210. Не могу разобраться как настроить маршрутизацию, так чтобы с одного DFL-210 была видна локальная сеть на другом DFL-210
IP адреса
DFL-800 192.168.1.1 сеть 192.168.1.0/24
DFL-210 192.168.2.1 сеть 192.168.2.0/24
DFL-210 192.168.3.1 сеть 192.168.3.0/24[/code]

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Либо поднимайте IPsec с указанием local/remote nets группами (по логике их расположения), либо (что проще) используйте везде all-nets, отключите автоподнятие роутинга и пропишите маршруты на удаленные сети руками.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сказать по правде, я предпочитаю первый вариант. По мне так прозрачнее, автоматичнее и жестче.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это стандартный hub & spoke, вам необбходимо правильно сгрупировать подсети и указать из в IPSec, а затем на 800 разрешить правилами обмен между сетями.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Задача такая же.
Настроил по аналогии с инструкцией из второго поста, но не заработало.
Из сети А видны обе сети, а из сетей В и С видна только А
Маршруты прописаны автоматом туннелями.
На роутере А созданы правила:
1. allow tunnelAB all-nets any all-nets
2. allow any all-nets tunnelAB all-nets
3. allow tunnelAC all-nets any all-nets
4. allow any all-nets tunnelAC all-nets

WAN интерфейсы роутеров А и В имеют реальный внешний IP-адресс, Роутер С имеет статический адресс выданный провайдером Corbina

up

vityai, а какие правила на B и C? Если они автоматом, то какой значение в поле Remote Net в настройках IPSec?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Роутер А:







Роутер В:





Роутер С:





Или архивом: http://narod.ru/disk/13488429000/Configs.rar.html

Уважаемые специалисты, прошу откликнутся на мою проблему!

Вы знаете, на первый взгляд все правильно, но лично я такую схему не делал, чтобы учесть все нюансы. И не на чем протестировать. А если бы и делал подобную связку, то соединил бы отдельными туннелями по принципу точка-точка, а не через центральный DFL-800, чтобы уменьшить последствия от возможных проблем в центре. Посему надо дождаться ответа от саппорта по данной схеме.
А Вы логи смотрели на всех устройствах после пингования, скажем?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

В процессе общения с техподдержкой пришли к выводу, что для начала надо обновить прошивки на всех устройствах, а потом изучать вопрос более детально.
Dima G., если интересно попробовать себя в настройке этого сценария - все выходные и все железки в вашем распоряжении

Я бы попробовал, но я даже не знаю, с какой стороны подступиться. Ведь я также считаю, что правила верны. Я просто не вижу, что бы я поменял в случае реализации данной схемы. Я бы посмотрел сниффером, но использовать встроенный в DFL немного напряжно. Ведь это нужно каждый раз скачивать дамп, открывать, анализировать. На компьютерах это проще и онлайн видно. Вот если хотите каждый с каждым соединить, то это без проблем. Но я вижу Вы и сами понимаете принцип работы DFL и прекрасно можете настроить самостоятельно. Все-таки больше надежды, что смены прошивки решит проблемы.
А что саппорт-то вообще сказал относительно скринов и маршрутов? Типа все правильно и так должно быть?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Я бы тоже сделал именно так. Это надежнее и рациональнее с точки зрения загруки инет каналов. Для небольшого кол-ва узлов (скажем, до 5-10 штук) я бы всегда так и делал.

Чем вас не устраивает такое решение? Оно эффективнее и прозрачнее в настройке.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сейчас мы убедим его, и он переделает и все заработает. А мы так и не узнаем, почему же не работало до этого.
Я еще советую попробовать сменить клиента L2TP в Корбину на PPTP. Тут в соседней теме помогло. Правда, vityai пишет, что А был доступен с С. Если тест всех подсетей проводился в тот же промежуток времени, значит, брас в Корбине был нормальный, т.е. пропускающий IPSec. Но если в разные промежутки, то есть подозрение, что в какой-то момент авторизация могла случиться на кривом брасе Корбины. Этот момент надо бы исключить.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)