Здравствуйте. Есть проблема, которую сам решить не могу.
Прикрепляю к сообщению план-схему локальных сетей. Если посмотреть на схему, то пинг непосредственно с узлов Z1 и D2 достигает конечных компьютеров PC1 и PC3. Также, пинг с PC1 проходит до любого узла в сети 192.168.2.0. Тоже самое происходит если пинговать эту подсеть с PC3. А вот пинг с PC1 до PC3 и обратно не проходит. Не могу понять почему. Такое чувство, что пакеты в рамках одинакового оборудования проходят из сети в сеть нормально, но пока не встретиться другое железо Например, пакет идёт с хоста PC1 на PC3 сначало на shDSL-модем Z2, далее на модем Z1, с которого прыгает на роутер D2, где и теряется. Если зделать трассировку с PC1 до PC3 через команду
tracert 192.168.1.2, то дойдя до роутера D2, пакеты заруливают не в впн-туннель, а идут в инет. Хотя на этом роутере прописан соответствующий маршрут для сети 192.168.1.0 и любой хост из сети 192.168.2.0 может её пропинговать. Не могу понять, где собака зарыта. Гляньте плиз схемку, может что-то неправильно настроено?
План-схема сетей:
http://slil.ru/27389520

правильные маршруты должны быть прописаны на D1 и D2. А также туннель между ними должен быть PPTP, а не IPSec. У вас какой?

С IPSec в подобноу схеме дочерние сети не увидят друг друга. Разве что удастся что-то нашаманить с масками подсетей и маршрутизацией.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Если честно, не знаю. В настройках нет такого выбора. Есть выбор типа шифрования и другая малопонятная хня.

Из второй подсети видно и 1 и 3 подсети и наоборот. Сложность не в том, чтобы настроить роутеры (они работают уже года 3), фишка в том, чтобы объединить 1 и 3 подсети.

Пока не будете знать, что за тип туннеля, что-то обсуждать бесполезно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вам полезно посмотреть
viewtopic.php?t=62423
и в зависимости от версии прошивки соответствующим образом изменить сетевые настройки.

Ещё раз пересмотрел все настройки. Нет там выбора типа туннеля, есть следующее:
Method - IKE

IKE Proposal Index:
Encrypt algorithm - 3DES
Auth algorithm - SHA1

IPSec Proposal Index:
Encap protocol - ESP
Encrypt algorithm - 3DES
Auth algorithm - NONE

Это то, что нужно?

Почитал. Понял только то, что следует попробовать для второй подсети 192.168.2.0 поставить адресацию как для первой 192.168.0.0., а для первой поставить 192.168.2.0. Прально понял? Ну и статические маршруты перепрописать.

Это значит, туннель - IPSec.
И по нему не пойдут пакеты, не принадлежащие удаленной сети, указанной в настройках.

Следовательно вам надо сменить туннель на pptp.

Либо попытаться в настройках канала между D1 и D2 указать как одну сеть обе сети: D2 и Z2, что возможно только вместе со сменой адресации. И при условии, что с такой маршрутизацией справится маршрутизатор D2.

Эта тема на этом форуме обсуждалась уже раз 10. Можете попытаться воспользоваться поиском, хотя его работа здесь оставляет желать лучшего.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я так понимаю, что по-умолчанию роутеры D1 и D2 между собой дружат ТОЛЬКО через ipsec. Да, они поддерживают pptp, но только в режиме сервера, т.е один к другому в таком режиме не прицепится

Вы говорите про то, что 1 сеть и 2 должны иметь одну адресацию? Если так, то спешу сказать - так всё сейчас и работает. Но нужно всё поделить на подсети, реорганизация у нас, блин Можно было бы тупо прописать маску на D2 255.255.0.0, но пробовал уже, не прокатывает. Служба тех. поддержки пояснила, что на бюджетных роутерах такой фишки нет, следовательно фиг получиться объединить две подсети через соответствующую маску.
З.Ы. Кстати, а что означает опция IPSec NAT Traversal в настройках vpn-туннеля?

Вам уже ответил Юрий
...Либо попытаться в настройках канала между D1 и D2 указать как одну сеть обе сети: D2 и Z2, что возможно только вместе со сменой адресации. И при условии, что с такой маршрутизацией справится маршрутизатор D2.
А в посте по ссылке приведены практические результаты - чего ожидать и чего можно добиться.

У меня сейчас по такой схеме и организована связь: 1 и 2 сети объединены в одну и уже она связана с 3 сетью через роутеры. Разбить эти сети как показано в схеме не получиться чтоли с этими роутерами?

Имеется ввиду, например, вот что:
На d1 сеть 192.168.2.0/24
на d2 - 192.168.1.0/24 (или 192.168.0.0/25)
на z2 - 192.168.0.0/24 (или 192.168.0.128/25)

канал настраивается так, что на стороне D2 указывается одна подсеть 192.168.0.0/23 (или 192.168.0.0/24)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Имеется ввиду, например, вот что:
Сеть 3 - 192.168.2.0/24
Сеть 2 - 192.168.1.0/24 (или 192.168.0.0/25)
Сеть 1 - 192.168.0.0/24 (или 192.168.0.128/25)

канал настраивается так, что со стороны Сети 2 указывается не ее подсеть, а одна, общая подсеть для сетей 1 и 2: 192.168.0.0/23 (или 192.168.0.0/24)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Кажись, допёрло. На роутере D1, в настройках впн-туннеля, указываю адрес удалённой сети 192.168.0.0 и маску 255.255.0.0. А на роутере D2, в настройках впн-туннеля, указываю локальную сеть 192.168.0.0 и маску 255.255.0.0. Так?

Прицепится. Т.к. один будет сервером, а другой клиентом.

Еще раз: Эта тема здесь множество раз обсуждалась. Воспользуйтесь поиском с ключевыми словами в духе: IPSec DI-804 маршрут(изация) "3 сети". Или просто позвоните в офис Д-Линк.

Я искать за Вас не буду, тем более что поиск тут кривой.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.