Возникла необходимость организовать VPN соединение между двумя удаленными офисами c совместным выходом в Интернет через VPN IPSEC.
Схема следующая:

LAN Network Филиал <----> (LAN)-DI-804HV(A)-(WAN)<----Ethernet Филиал (WAN)-----Ethernet Центральный Офис(WAN)----> (WAN)DI-804HV(B)(LAN)<---->LAN Network<----->ADSL Modem Режим (Router)<-----> Internet

(<----Ethernet Филиал (WAN)-----Ethernet Центральный Офис(WAN)---->)находятся в одном коллизионном домене Ethernet 192.168.137.0/24

Для организации туннеля использовал документацию по типу оборудования DI-804HV
Привожу пример для:
Роутер DI-804HV(A) Филиал
WAN INTERFACE:
IP: 192.168.137.1
MASK: 255.255.255.0
GW: 192.168.137.254 Шлюз не используется, но настройки не применяются, пришлось оставить
----------------------------------
LAN INTERFACE
IP: 192.168.0.253
MASK: 255.255.255.0
----------------------------------
VPN TUNNEL
Local Subnet: 192.168.0.0
Local Mask: 255.255.255.0
Remote Subnet: 192.168.1.0
Remote Mask: 255.255.255.0
Remote Gateway: 192.168.137.2

IKE и IPsec установлены согласно документации

Роутер DI-804HV(B) Центральный офис
WAN INTERFACE
IP: 192.168.137.2
MASK: 255.255.255.0
GW: 192.168.137.254 Шлюз не используется, но настройки не применяются, пришлось оставить
----------------------------------
LAN INTERFACE
IP: 192.168.1.254
MASK: 255.255.255.0
----------------------------------
VPN TUNNEL
Local Subnet: 192.168.1.0
Local Mask: 255.255.255.0
Remote Subnet: 192.168.0.0
Remote Mask: 255.255.255.0
Remote Gateway: 192.168.137.1

IKE и IPsec установлены согласно документации

Таким образом, удалось поднять VPN между двумя офисами. Обе сети видно проблем нет.

Следующая задача обеспечить выход в сеть Интернет Филиала (A) через VPN!

Попытки прописать Default Gateway на роутере (A) не успешны. В последствии прочитал, что через WAN и IPsec интерфейсы невозможно прописать статические маршруты для удаленных сетей. Так же роутер не понимает такую запись:
Destination Network Destination Netmask Gateway Hop Enabled
0.0.0.0 0.0.0.0 x.x.x.x 1 Yes

Попробовал поставить в сети Центрального офиса VPN PPTP сервер
Таким образом, удалось установить VPN соединение поверх IPsec туннеля с адресом Центрального Офиса, но для этого нужно держать в сети еще и ВПН сервер для выхода в интернет что не очень удобно.

Далее я попробовал изменить конфигурацию. Обоих Роутеров!
Привожу пример:

Роутер DI-804HV(A) Филиал
WAN INTERFACE:
IP: 192.168.137.1
MASK: 255.255.255.0
GW: 192.168.137.254 Шлюз не используется, но настройки не применяются, пришлось оставить
----------------------------------
LAN INTERFACE
IP: 192.168.0.253
MASK: 255.255.255.0
----------------------------------
VPN TUNNEL
Local Subnet: 192.168.0.0
Local Mask: 255.255.255.0
Remote Subnet: 0.0.0.0
Remote Mask: 0.0.0.0
Remote Gateway: 192.168.137.2

IKE и IPsec установлены согласно документации

Роутер DI-804HV(B) Центральный офис
WAN INTERFACE
IP: 192.168.137.2
MASK: 255.255.255.0
GW: 192.168.137.254 Шлюз не используется, но настройки не применяются, пришлось оставить
----------------------------------
LAN INTERFACE
IP: 192.168.1.254
MASK: 255.255.255.0
----------------------------------
VPN TUNNEL
Local Subnet: 0.0.0.0
Local Mask: 0.0.0.0
Remote Subnet: 192.168.0.0
Remote Mask: 255.255.255.0
Remote Gateway: 192.168.137.1

IKE и IPsec установлены согласно документации


Таким образом, на роутере (A) удалось сказать, что по умолчанию идти на роутер (B)
На роутере (B) поднял статический маршрут для узла, к примеру, www.ru (194.87.0.50)
таким образом:
Destination Network Destination Mask Gateway Hop Enable
194.87.0.50 255.255.255.255 192.168.1.1 1 YES

192.168.1.1 - Это адрес шлюза ADSL роутера

В Филиале настроил локальный компьютер:
IP: 192.168.0.1
MASK: 255.255.255.0
GATEWAY: 192.168.0.253

ping www.ru

64 bytes from www.ru (194.87.0.50): icmp_seq=1 ttl=56 time=43.1 ms
64 bytes from www.ru (194.87.0.50): icmp_seq=2 ttl=56 time=42.7 ms
64 bytes from www.ru (194.87.0.50): icmp_seq=3 ttl=56 time=43.7 ms

Ответ идет!!!

Вот хотелось бы узнать есть возможность в статической таблице маршрутизации задавать default gateway для следующего хопа. Если нет, то остается применять ВПН что не очень удобно, хотя такая схема работает.

В данный момент DI-804HV не понимает запись типа:

Destination Network Destination Netmask Gateway Hop Enabled
0.0.0.0 0.0.0.0 192.168.1.1 1 Yes


Пока мои эксперименты закончены на этом этапе.
Жду от вас сообщений.
Спасибо.

Если есть другие устройства, с помощью которых можно завести такую схему напишите, пожалуйста.