Имеем схему: Lan1<->Cisco Router<->Lan2<->DI804HV<-IPSec->DI804HV<->Lan3.
DI804HV не пускает в туннель ничего с source address не из подсети своего lan интерфейса.
Могу ли я каким-то образом наладить связь между хостами в сетях Lan1 и Lan3? Пока вижу варианты заменить левый DI804HV на что-нибудь более продвинутое (от DLINK?), или настроить на cisco nat otside static к хостам в сети Lan1, к которым нужен доступ из сети Lan3 (но тогда те же правила будут действовать для всех хостов в сети Lan2).
Что посоветуете?

1. то, что DI-804HV не пускает в туннель ничего, кроме как со совего lan - это естественно.
2. чтобы соединить lan1 и lan3 - поднимите между ними туннель минуя lan 2

_________________
С уважением, Карагезов Владислав

1. То, что DI-804HV не пускает в туннель трафик из других подсетей, я уже понял. Можно ли подобрать какое-то другое оборудование DLINK вместо левого по схеме DI804, чтобы трафик, пускаемый в туннель, задавался бы аксесс-листами, как в cisco?

2. Если я ставлю DI804HV и в сеть Lan1, как канал IPSec Lan2-Lan3 пропустит через себя еще и наложенный туннельный трафик Lan1-Lan3? Что-то не соображу. Поясните, пожадлуйста.

DI-1750 например.

Хм... А попроще?

А что, два 804 соединены только IPSec ? обычного TCP между ними нет ?

Надо ли для соединения lan1 и lan3 подключать еще один DI804HV в сети lan1 или можно еще один тунель прописать на существующих?

можно прописать до 40 туннелей на DI-804HV.

_________________
С уважением, Карагезов Владислав

Схема та же
Lan1<->Cisco Router<->Lan2<->DI804HV<-IPSec->DI804HV<->Lan3.
У нас сеть
Lan1 10.0.0.0 с маской 255.0.0.0, (доступ достаточно к 10.1.0.0)
Lan2 10.2.150.0 с маской 255.255.255.128,
Lan3 10.2.149.248 с маской 255.255.255.252
Если прописать 2 туннеля (см.ниже) будет работать?

D-link1 D-link2
Tun1
Local subnet 10.1.0.0 10.2.149.248
Local mask 255.255.0.0 255.255.255.252
Remout subnet 10.2.149.248 10.1.0.0
Remout netmask 255.255.255.252 255.255.0.0
Remout gateway X.X.X.X Y.Y.Y.Y
Tun2
Local subnet 10.2.150.0 10.2.149.248
Local mask 255.255.255.128 255.255.255.252
Remout subnet 10.2.149.248 10.2.150.0
Remout netmask 255.255.255.252 255.255.255.128
Remout gateway X.X.X.X Y.Y.Y.Y

Все должно работать.
Поднимите еще туннель между киской и правым DI-804

Да, в том-то вся проблема. IPSec идет по IP-сети провайдера, и ничего, кроме IPSec там пускать совсем не хочется. Поэтому трафик Lan1-Lan3 обязательно должен пройти участок Lan2-Lan3 и на этом (хотя бы) участке шифроваться. Трафик Lan2-Lan3 тоже должен ходить через IPSec по тому же каналу.
Вот я и спрашиваю - что есть за разумные деньги, способное пустить в туннель трафик, вручную определяемый правилами, а не жестко только из местной подсети?

А что, в этом случае возможно поверх туннеля IPSec промаршрутизировать еще и трафик IPSEc cisco - DI804(правый) ? Весь трафик на участке Lan2-Lan3 у меня должен шифроваться.

Никак не пойму, в чем проблема ?
Зачем маршрутизировать поверх (точнее, внутри) тоннеля ?
Запустить еще один тоннель между киской и правым 804 !
Вся разница в том , что начинаться он будет не на левом 804, а на киске. И дальше маршрутизироваться через левый 804 до правого, где и закончиться.

1. Придется маршрутизировать подсети провайдера IP в своей короративной сети, что не гуд.
2. В циске софт без VPN, и он туда не лезет

Можно ли все же обойтись чем-то попродвинутей вместо левого по схеме DI?

Вряд ли это что-то изменит.
А какая таблица маршрутизации на этом левом 804 ?