Задача проста, но я уже года два неспешно ищу на нее ответ.

Есть DFL-800 в центральном офисе.
К нему подключены 3 филиала по IPSEC с помощью железок DI-804HV.
Так вот, филиалы и офис видят друг друга. Однако мне нужно, чтобы филиалы также напрямую видели друг друга. Как вариант - я, подключаюсь в файрволу по IPSec или PPTP из дома и хочу напрямую коннектится к филиальным компьютерам.

НЕ РАБОТАЕТ!

Сейчас я выхожу из положения вот как. Подключаюсь терминалом на сервер, а с сервера снова терминалом на филиальные ПК.

ЭТО ИЗВРАТ!

Но я так и не нашел внятного ответа, как это настроить.

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Тут много раз об этом писалось, поищите. (Хотя поиск тут плоховатенький). О маршрутизации по IPSec между офисами. По IPSec ходят только пакеты из подсетей, прописанных в свойствах соединения.

В том виде, который у Вас сейчас, по IPSec, не заработает. Либо менять филиальные рутеры на DFL-210, либо переделывать каналы на PPTP/L2TP.

Если из дома цепляетесь по PPTP/L2TP, то через NAT сможете ходить и в филиалы.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за ответ, только вот все ответы были в таком ключе. А подробнее можно?
Раньше заявлялось, что DFL-800 поддерживает маршрутизацию между VPN...
Кроме того, когда я подключался по PPTP - то же самое. Не работает как положено. В филиалы напрямую ходит, а в центральный офис нет. Мистика!
Помогите!

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

А, ну да! Когда вы подключаетесь по pptp, вы тоже для филиалов находитесь в "чужих", неизвестных им сетях. Сейчас же вы можете попробовать из дома выходить через NAT, чтоб филиалы вас "видели" находящимся в головном офисе.

Что подробнее? Я Вам написал варианты решения.

Есть еще один, который маловероятно, что заработает. Для всех филиальных 804-х указать в качестве удаленной сети большую подсеть, которая включает в себя филиалы и головной офис.

Это ограничение связано с DI-804, а не с DFL-800.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Наверное я тупой....
Когда вы подключаете DI-804HV к Интернету, вы ж не прописываете ВСЕ интернет-сети, куда планируется ходить. Так какого ХРЕНА я должен что-то прописывать в DI-804?

Как я понимаю, DFL должен корректно маршрутизировать трафик между филиалами ПРИ НАЛИЧИИ РАЗРЕШАЮЩИХ ПРАВИЛ.
Правила такие я создал. Все равно не работает как надо.

Есть, например, явно заданное правило, которое разрешает обмен между моей сетью 192.168.20.0 и сетью филиала 192.168.11.0. Другое правило разрешает обмен между моей сетью и офисом. Так вот, на офис ходит, а на филиал не ходит! КАКОГО Х....?

Зачем мы с Вами строим догадки? Я уже 2 года их строю. Правда вначале я на глюки прошивок грешил.

Может послушаем техподдержку?

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

У вас каналы по IPSec?

По IPSec проходят только пакеты с адресом получателя соотвествующим настройкам IPSec канала. Маршрут по умолчанию на DI-804 к этому отношения не имеет.

У вас проблемы связаны только с этим.

И вообще, DFL-210 в филиалах - это же круто! Или денег не дадут?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Насчет IPSec. Пакеты-то проходят, но речь идет о маршрутизации ПОСЛЕ IPSEC.

Иными словами, когда пакеты уже пришли на DFL 800 из филиала и извлечены из IPSEC тоннеля, они должны быть маршрутизированы на другой филиал, помещены в IPSEC тоннель для этого филиала и отправлены туда.

Что тут непонятного?

Почему такая элементарная схема не работает?

Насчет DFl-200. 3 филиала я назвал для простоты. На самом деле их 15. И я не вижу смысла ставить там DFL-200 по целому ряду причин, основная их которых - там есть куча функционала, которая просто не нужна. Филиалы не имеют доступа в Инет, им нужен только VPN IPSEC на головной офис.

Дело абсолютно не в финансах.

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Ладно, не хотите слушать - послушаете техподдержку. А пока можете просто попробовать с PPTP каналом на паре филиалов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Давайте послушаем поддержку, а то я уже 2 года пробую... Все работает как заявлено в мануале, кроме этой хрени...
Вы поймите, что PPTP, что IPSEC - это разные протоколы, но делают они ТО ЖЕ САМОЕ - инкапсулируют трафик. Так какого PPTP должен работать, а IPSEC не должен?
Это суть туннели, ну названия разные вот и все!

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

поддержу я YuriAM, особенно последнее его сообщение. А мои 5 копеек это: не дфл не умеет маршрутизировать, а ди-804hv не отправляет в айписек тунеть пакеты где адрес получателя не равен сети назначения&&на маску.. + ко всему этому надо учесть что проверка идёт не только по адресу назначения, но и по источнику...

...а так, ладно, ждём утра понедельника...

+ещё я думаю вас попросят привести конфиги, чтоб было понятно как оно у вас настроено

Не видя вашей конфигурации затруднюсь вам что либо посоветовать, Предварительно могу дать следующие рекомендации, выведите PPTP сервер в отдельную подсеть и в правилах для обращения в удаленные сети используйте NAT.

У меня настроено по мануалу. И PPTP клиенты и IPSEC получают адреса из другой подсети, то есть PPTP из 192.168.19.0 и IPSEC из 192.168.20.0

Затем настроены стандартные разрешающие правила и зтих подсетей в lannet и наоборот

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Вообще вам можно на DI-804HV указать удаленную подсеть 0.0.0.0/0, на DFL, соответственно наоборот. После этого уже правилами прописываете куда и как можно ходить. Только в этом случае ВЕСЬ трафик с 804-ых идет только в туннель - инет на прямую не работает.
если этого не нужно можно попробовать подсеть, например, 192.168.0.0/16, но такую конфигурацию не проверял.

Спасибо. Я уже размышлял в этом направлении. ТАк на стороне DFL мне при создании туннеля с DI-605 нужно, сперва, создать группу филиальных сетей, включая lannet и ее указывать. А не lannet?

ЕСли при создании туннеля в DFL я в свойстве local network укажу просто lannet, вряд ли заработает...

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

я проверял по первому варианту и просто указывал allnets (который уже есть).