Схема включения простая
LAN1 - DI-804HV - Провайдер1 - Провайдер2 - DI-804HV - LAN2
_____________________!_____________!
__________________Интернет______Интернет
Провайдеры независимые, между ними отдельный скоростной линк, трафик там дешевый. DI-804HV стоят для доступа в Интернет и шифрования трафика мажду локалками офиса. Все работает.

Теперь нужно странного - пустить интернетовкий трафик из LAN2 через Провайдера1. Причин тому несколько - финансовые, организационные и пр. Переделываем VPN так чтобы DI-804HV который стоит у LAN2 считал что удаленная сетка теперь не LAN1 а вообще 0.0.0.0/0. Это проходит нормально и весь трафик из LAN2 начинает идти через VPN туннель на левый DI-804HV. Но в Интернет через него не уходит. На левом DI-804HV в правилах Firewall все открыл, не помогло.

Вопрос:
Может ли DI-804HV принципиально маршрутизировать трафик и делать на нем NAT при условии что этот трафик с VPN туннеля в WAN порт? Если нет, то что сможет это сделать? Что-нибудь из ZyXEL?

накая сехема не работоспособна.
Устройство не сможет заворачивать трафик из IPsec в WAN да ещё и натировать его.

А не легче тунель организовать между LAN1 и LAN2 OpenVPN и тогда вашу задачу решить элементарно.

_________________
WBR. Sp!ZER

а почему именно openVPN?

потому что:
1. система кроссплатформенная
2. может работать как по tcp так и по udp
3. можно организовать GRE тунель, и как следствие поднять Bridge между сетями.
4. соединение может быть построено точка точка или звезда.
5. Поддерживает шифрование данных самыми распространеными алгоритмами
6. возможность аутентификация используя сертификаты (работа с SSL).
7. защита от DoS
8. работает через SNAT
9. совершенно бесплатная.

_________________
WBR. Sp!ZER

Использую вот уже 2 года Zyxel. Очень доволен ихними возможностями маршрутизации. Но возможностей VPN у моего Zyxel-я
нет. Поставил после Zyxel-я ещё DI808HV. Создал VPN-канал по схеме:

" DI808HV(1) --- Zyxel -- Провайдер -- Другой провайдер -- Zyxel -- DI808HV(2)".

Коннект есть, пинги идут, но файлы размером больше 2КБ по каналу не ходят.

Служба поддержки DLink говорит что, что мне "просто неповезло" и советуют отказаться от Zyxel.

Ну, что поделаешь, если у DLink вообще нет устройств, позволяющих задавать более чем 200 правил маршрутизации!! Да и сами правила у DLink маломлщные какие-то. Например, чего стоит требование писать маску по тетрадам. (Например, нельзя задать маску вида 255.255.252.0 -- работать не будет.) То есть с помошью 4-ех правил DLink делаешь то , что на Zyxel-ях пишется в одну строчку.
Ну и кроме того на Zyxel-ях в правила можно задавать не только с помощью масок, но и посредством указания диапазона адресов.

В общем, если бы не необходимость VPN, ничего бы у DLink покупать не стал!

To Tamchik:
Вам ответили в вашей теме. Какой смысл постить одно и тоже в несколько тем и осложнять работу специалистов?
Одна проблема - одна тема, так проще и пользователям и поддержке. Надеюсь на понимание

_________________
С уважением, Карагезов Владислав

Вы правы. Но мне обидно.
Что потратил деньги, а как использовать непонятно.

И ведь не видно чтобы служба поддержки как-то пыталась мне помочь. Что с того, что мне объяснили первопричину? Что конкретно делать всё-равно не понятно. Вы разработчики? Да? Вот и напишите прошивку, которая правильно работает с mss/mtu, а не требуйте от пользователя менять настройки на клиентских местах. На компьютере-то и я могу. И для этого мне вообще никаких роутеров покупать не надо. Если Вы другого решения не видите, то признайте свою ошибку и верните мне деньги. Если есть другое решение -- то сообщите его.