есть 2 сети, в каждой по 6 сегментов. Выглядит так

есть роутер в первом сегменте di-804hv с внутренним айпишником 10.10.1.10, от него идут туннели к роутерам в сегментах 2-6. с айпишниками 10.10.2.10, 10.10.3.10 ... 10.10.6.10.

В другой сети такая же ситуация. В седьмом сегменте стоит роутер
с айпишником 10.10.7.10 и от него идут туннели к сегментам 8, 9, 10, 11, 12. соответственно к роутерам с айпишниками 10.10.8.10, 10.10.9.10 ... 10.10.12.10.

Вопрос такой. Как, используя только роутеры 10.10.1.10 и 10.10.7.10 сделать так, чтобы из сегментов 2-6 был доступ к сегментам 8-12?

На роутере 10.10.1.10 на закладке Advanced / Routing указать маршруты для каждой из подсетей, находящихся за роутером 10.10.7.10, а именно:
ID Destination Subnet Mask Gateway Hop Enable
1 10.10.8.0 255.255.255.0 10.10.7.10 5 + Enable
2 10.10.9.0 255.255.255.0 10.10.7.10 5 + Enable
3 10.10.10.0 255.255.255.0 10.10.7.10 5 + Enable
4 10.10.11.0 255.255.255.0 10.10.7.10 5 + Enable
5 10.10.12.0 255.255.255.0 10.10.7.10 5 + Enable
Hop = 5 указан "с запасом на всякий случай"
Можно "извратиться", указав блок сетей 10.10.8.0-10.10.15.0 как одну сеть 10.10.8.0/21 одним маршрутом (не уверен что потянет, но если интересно - пробуйте).
ID Destination Subnet Mask Gateway Hop Enable
1 10.10.8.0 255.255.248.0 10.10.7.10 5 + Enable

На роутере 10.10.7.10 сделать аналогично для сетей 10.10.2.10, 10.10.3.10 ... 10.10.6.10:
ID Destination Subnet Mask Gateway Hop Enable
1 10.10.3.0 255.255.255.0 10.10.2.10 5 + Enable
2 10.10.4.0 255.255.255.0 10.10.2.10 5 + Enable
3 10.10.5.0 255.255.255.0 10.10.2.10 5 + Enable
4 10.10.6.0 255.255.255.0 10.10.2.10 5 + Enable

Загвоздка может быть только если роутер не поймёт маршрут через туннельный интерфейс, я так не пробовал.


Исправил ошибку.
Добавлю ещё:
На каждом из остальных роутеров указать маршруты на остальные сети, например, для 10.10.3.10 через соотв. ему "вышестоящий" роутер:
ID Destination Subnet Mask Gateway Hop Enable
1 10.10.3.0 255.255.255.0 10.10.2.10 5 + Enable
2 10.10.4.0 255.255.255.0 10.10.2.10 5 + Enable
3 10.10.5.0 255.255.255.0 10.10.2.10 5 + Enable
4 10.10.6.0 255.255.255.0 10.10.2.10 5 + Enable
5 10.10.7.0 255.255.255.0 10.10.2.10 5 + Enable
6 10.10.8.0 255.255.255.0 10.10.2.10 5 + Enable
7 10.10.9.0 255.255.255.0 10.10.2.10 5 + Enable
8 10.10.10.0 255.255.255.0 10.10.2.10 5 + Enable
9 10.10.11.0 255.255.255.0 10.10.2.10 5 + Enable
10 10.10.12.0 255.255.255.0 10.10.2.10 5 + Enable
И вот здесь уже лежат грабли, т.к. записей в таблице всего 8.
Пробуй написать вообще весь блок:
ID Destination Subnet Mask Gateway Hop Enable
1 10.10.0.0 255.255.0.0 10.10.2.10 5 + Enable
Может и так заработает.

Я бы Вам рекомендовал "перебить" сети, чтобы они красивее ложились в блоки, например, 10.10.0.0/21 и 10.10.128.0/21 или вообще 10.10.* 10.11.*

Не совсем понял.

Можно так же разобрать ситуацию по-проще?

есть 3 роутера 10.10.1.10, 10.10.2.10 и 10.10.3.10.

от второго сегмента есть впн туннели впервый и третий. как, с помощью роутинга, сделать, чтобы из 3 сегмента были видны машины 1 сегмента и наоборот? При условии, что между 1 и 3 сегментом туннеля нет.

Роутер 2 знает про все сети, т.к. они на него зацеплены тунелями, значит ему ничего "обяснять" не надо.

Роутер 1 не знает о сети 10.10.3.10, поэтому вместо того чтобы запихнуть её в тунель, он отправит "её" на шлюз по умолчанию, то есть провайдеру мимо тунеля. Поэтому пишем ему, что эту сеть надо отправить в тунель роутеру 2:
ID Destination Subnet Mask Gateway Hop Enable
1 10.10.3.0 255.255.255.0 10.10.2.10 5 + Enable

Аналогично, Роутер 3 не знает о сети 10.10.1.10, поэтому вместо того чтобы запихнуть её в тунель, он отправит "её" на шлюз по умолчанию, то есть провайдеру мимо тунеля. Поэтому пишем ему, что эту сеть надо отправить в тунель роутеру 2:
ID Destination Subnet Mask Gateway Hop Enable
1 10.10.1.0 255.255.255.0 10.10.2.10 5 + Enable

DI-804HV не умеет делать роутинг между VPN туннелями. Необходимо настраивать туннели между 1 и 3 сегментом.

А DFL - 700 умеет?

Да... Я уже как-то говорил мысль, что перечень того что оно делать не умеет, кажется, должен быть больше перечня того что умеет...

Давайте уточним - не умеет роутить между тунелями?
А из LAN роутить сеть в тунель, находящуюся "за выходом из тунеля"?
(Поясню: DI-804, WAN 1.1.1.1/24, LAN 10.1.1.1/24, тунель 10.1.1.0/24 | 1.1.1.1 <-> 2.2.2.2 | 10.2.2.0/24.
В удалённой сети ещё роутер 10.2.2.5, за которым находится 10.5.5.5/24.
На роутере 10.1.1.1 будет работать такой маршрут?:
10.5.5.0:255.255.255.0 -> 10.2.2.5)

На своей шкуре испытывал только маршрут через шлюз назодящийся в этой же LAN - работает.

А вот стоит у меня какой-то ADSL+роутер+WiFi "PNet" (случайно достался), я его как точку доступа использую (кстати, 0.0% проблем), так в нём даже маршрут 0.0.0.0:0.0.0.0 через шлюз в LAN-е прописывается "на ура". Он даже обрабатывает ICMP-redirect и добавляет эти маршруты в таблицу и показывает это всё в веб-интерфейсе...

уточняю.
Маршрутизация через туннель не поддерживается. Не умеет устройство также и маршрутизировать между туннелями. Марштур такой работать не будет, чтобы получить доступ к сети 10.5.5.0 нужно настроить еще один туннель на эту сеть. Причина -- ВПН трафик отбирается по SPD ДО routing engine. Рутинг применяется к уже обработанному пакету, то есть ESP.

_________________
С уважением -- Александр Шебаронин.

Ага, это вносит ясность...
А то у меня возникала "загвоздка" - как же можно написать маршрут через тунель, при том что у роутера нет интерфейса в эту удалённую сеть. Эта мысль меня "ела" ещё в бытность давних экспериментов с IPSec на win2000.

Но теперь возникает иной вопрос - у меня же примерно так на одной "прощадке" АТ-шный роутер сконфигурирован. Давно было дело, уже не помню. Как будет возможность - гляну как я там это ваял...

P.S. а что за сокращ. SPD ?

Security Policy Database.

_________________
С уважением -- Александр Шебаронин.

А это во всех реализациях (не только D-Link, если знаете и про другие - поделитесь, плиз) IPSec встроен именно так?
Просто понять охота... А то уже как-то пришлось воевать с маршрутизацией и IPSec...
Или может подскажете где глянуть, как "структурно" завязаны routing, IPSec, Source- и Policy-Based Routing.

Да. это вроде как стандарт. Были ранние реализации, в них бывали и псевдоинтерфейсы, и прочая, и прочая... SPD вроде как стандарт, и определяет каким образом должен быть защищен трафик, формат включает и адреса источника, и приемника, и обоих гейтов (опционально). Где почитать -- не помню где я это нашел в удобоваримом виде, а к РФЦ отсылать -- очень зло, там мозг сломать можно быстро и еще быстрее запутаться.

_________________
С уважением -- Александр Шебаронин.

Если что вспомнится - дайте знать, плиз.

Всенепременно.

_________________
С уважением -- Александр Шебаронин.