Добрый день.
Есть такая схема:


Между D804(1) и D804(2) поднят VPN (ike). Настройки стандартные
D804(1):
LAN:
IP Address = x.x.x.65
Subnet Mask = 255.255.255.192
WAN:
IP Address = z.z.z.2
Subnet Mask = 255.255.255.252
MTU = 1500
VPN
Aggressive Mode = off
Local Subnet = x.x.x.64
Local Netmask = 255.255.255.192
Remote Subnet = x.x.x.0
Remote Netmask = 255.255.255.192
Remote Gateway = y.y.y.3
IPSec NAT Traversal = no
Auto-reconnect = yes

D804(2):
LAN
IP Address = x.x.x.62
Subnet Mask = 255.255.255.192
WAN
IP Address = y.y.y.3
Subnet Mask = 255.255.255.248
MTU = 1500
VPN
Aggressive Mode = off
Local Subnet = x.x.x.0
Local Netmask = 255.255.255.192
Remote Subnet = x.x.x.64
Remote Netmask = 255.255.255.192
Remote Gateway = z.z.z.3
IPSec NAT Traversal = no
Auto-reconnect = yes

IKE Proposal Index и IPSec Proposal Index настроены стандартно (как в мануале).

x.x.x.0/24 - публичная сеть, принадлежащая мне.
На D804(1) - WAN - белый ip прова z.z.z.2. Естественно, при выходе в инет из LAN1 через D804(1) айпишники натятся в z.z.z.2
На WAN'е D804(2) и линух-роутера - тоже белые ip, принадлежащие другому прову. Роутинг у прова настроен так, что путь к сети x.x.x.0/24 лежит через y.y.y.2.

В данной схеме получается что в инет каждая подсеть выходит через своего прова. Причем через линух все выходят под своими айпишниками сети x.x.x.0/26
Но есть необходимость,чтобы на определенный айпишник в инете A.A.A.A пакеты LAN1 шли через туннель и выходили через линух-роутер (x.x.x.1/26). Т.е. хост А.А.А.А видел бы компы LAN1 под их реальными ip, например x.x.x.100.

Возможно ли это?

Я прописал на линухе путь к сети x.x.x.64/26 через GW x.x.x.62
(соответственно необходимые записи в iptables тоже были внесены).
После этого заходил пинг с A.A.A.A до x.x.x.62

И в роутинге D804(1) добавил запись:
Enable = yes
Destination = A.A.A.A
Subnet Mask = 255.255.255.128
Gateway = x.x.x.1

ВПН работает, т.е. с D804(1) пингуется вся сетка x.x.x.0/26 и наоборот - с D804(2) пингуется вся сетка x.x.x.64/26

Но вот с A.A.A.A пинговать не получается и наоборот.

В чем может быть проблема?

Маршруты в DI работают только на wan, в IPSec пакеты не заворачивают.

То есть с 804 данную схему не удастся реализовать?
Какую модель тогда можете предложить вместо 1-2 D804?

Такое может только DFL-210/800/1600/2500, правда реализовать будет не просто, но на этиз устройствах маршрутизировать можно и в тоннель, и даже к тоннелю маршруты дополнительные прописывать.

Спасибо. DFL-210 отлично справился:)