Здравствуйте!

Пытаемся запустить такую конфигурацию:

+- lan 192.168.3.0/24
|
+-
+- маршрутизатор
|
+- lan 192.168.1.0/24
|
+- lan DFL1 dmz +-- провайдер (10.5.1.1/26) --+ wan DFL2 lan+- 192.168.2.0/24

DFL1 - DFL-800, DFL2 -DFL-210, последние прошивки.
Настроен IPSec между 192.168.1.0/24 и 192.168.2.0/24 через внутреннюю сеть провайдера 10.5.1.1/26.
Этот IPSec поднимается, но работает как-то странно:
1) пакеты между 192.168.1.0/24 в 192.168.2.0/24 ходят, а между 192.168.3.0/24 и 192.168.2.0/24 - нет. Хотя все небходимые правила и маршруты на маршрутизаторе, DFL1 и DFL2 настроены.
2) При этом пакеты из сети 192.168.3.0/24 в 192.168.2.0/24 вижу в логе DFL1 (они идут на интерфейс IPSec), а в логе DFL2 - вообще не вижу.

Подскажите, кто может, в чём тут может быть дело...

Что ж вы так любите псевдографику. Нарисуйте нормальную схему и приведите настройки.

Что за маршрутизатор у вас между сетями 192.168.3.0 и 192.168.1.0?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Маршрутизатор - DES-3838.
На нём есть маршрут: net=192.168.2.0/24 gw=192.168.1.1 metric=10.
Его IP со стороны DFL1 192.168.1.99, со стороны 192.168.3.0/24 - 192.168.3.99.
На хостах в сети 192.168.3.0/24 есть маршрут: net=192.168.2.0/24 gw=192.168.3.99 metric=10.

DFL1:
IP интерфейсов - lan=192.168.1.1, dmz=10.5.1.1
IPSec: 192.168.1.0/24, 192.168.2.0/24, 10.5.1.2 (LAN, Remote net, Remote GW).
Есть маршрут: if=lan, net=192.168.3.0/24 gw=192.168.1.99 metric=60

DFL2:
IP интерфейсов: lan=192.168.2.1, wan=10.5.1.2
IPSec: 192.168.2.0/24, 192.168.1.0/24, 10.5.1.1 (LAN, Remote net, Remote GW).
Есть маршрут: if=IPSec, net=192.168.3.0/24 gw=192.168.1.99 metric=60

Хотелось бы понять следующее:
1) коректно ли в принципе для DFL-800 создание IPSec VPN-канала через DMZ?
2) что нужно, чтобы через такой VPN канал проходили пакеты в удалённую сеть 192.168.2.0/24 из сети за маршрутизатором 192.168.3.0/24?
3) что нужно, чтобы через этот VPN канал проходили пакеты из удалённой сети 192.168.2.0/24 в сеть 192.168.3.0/24?
3) Какие параметры при этом поставить в настройках IPSec:
- Режим инкапсуляции,
- IP-адрес, используемый в качестве IP-адреса источника туннеля
- NAT Traversal
- Обнаружение Dead Peer
4) Какие Действия (Allow, NAT и т.п.) указать в соответсвующих правилах
- DFL1:
lan:192.168.1.0 -> ipsec:192.168.2.0
lan:192.168.3.0 -> ipsec:192.168.2.0
ipsec:192.168.2.0 -> lan:192.168.1.0
ipsec:192.168.2.0 -> lan:192.168.3.0

- DFL1:
lan:192.168.2.0 -> ipsec:192.168.1.0
lan:192.168.2.0 -> ipsec:192.168.3.0
ipsec:192.168.1.0 -> lan:192.168.2.0
ipsec:192.168.1.0 -> lan:192.168.3.0

Буду благодарен всем ответившим на мои вопросы.

Видимо никто не знает ...
Но я уже разобрался !

Просто надо при создамии IPSec в качестве локальной и/или удалённой сети указывать не одну сеть, а несколько, объединив их в группу.
В моём случае соответсвенно для DFL1 локальная, а для DFL2 - удалённая сеть д.б.
192.168.1.0/24 + 192.168.3.0/24