В продолжении темы viewtopic.php?t=61411

Есть с десяток различных подсетей (будем называть их A1, A2 и т.д.), которые подключены через сеть B (192.160.14.x/24) к сети C (192.168.12.x)

Между сетями Ax и B стоят DI-808HV или 804
Между B и C стоит DFL-1600

Необходимо подключить сети Ax к сети С, используя VPN каналы между 804/808 и DFL-1600 используя сеть B, как транспорт.

Сети Ах видеть друг друга не должны. Из сети С сети Ах тоже не должны быть видимы.
При этом, среди сетей А могут попадаться сети с одинаковой адресацией.
В настоящий момент удалось подключить несколько DI-808HV к DFL-1600, включая соединение с циской (где сразу две подсети висят на одном DI-808HV). Проблема возникла при подключении двух сетей с одинаковой адресацией (192.160.150.х)

Предполагаю, что необходим NAT на уровне DI-808HV, либо в DFL-1600 сводить каждый канал от DI-808HV в некий виртуальный интерфейс в DFL-1600 и NAT-ть в нем.

Если для реализации схемы необходимо использовать другие железки, то какие именно?

Есть еще вариант, установки на каждый комп в сетях Ax некоего софта, который может по VPN цепляться к DFL-1600. А DI-808HV работали бы просто как шлюз в 14-ю подсеть.

Схема (рисовал как умею)

Вообще, насколько я понимаю идеологию IPsec, для девайса это интерфейс с той сетью, что указана как remote. Соответственно, для вашего DFL-1600 думаю вызовет некоторые затруднения рулить несколькими одинаковыми интерфейсами 192.160.150.0/24.

Касательно вашего примера

Результат именно тот, о котором я вам говорю - сети 100, 150 и 151 работают замечательно. Потому что они разные. Добавляете еще одну 150 сеть и заваливаете роутинг.

Как минимум - обеспечьте уникальность удаленных сетей. Ибо ситуация смахивает на то, что 804й в IPsec не натит, а форвардит.

И насчет софта. Софт есть - DS-605, однако стоит около 2к на 5 клиентов.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

У меня тоже такое впечатление, хотя в IPsec пишет в логах, что поднимается NAT-T.
Т.е. складывается впечатление, что DFL-1600 сначала собирает все пакеты от 804-х в кучу, где-то тайно (ибо я не нашел) хранит таблицу где какая подсеть а потом все это NAT-ть

В отображаемой таблице маршрутизации указано, что IPSec-е интерфейсы, которые связаны с 150 и 151 сетями маршрутизируются на all-nets (0.0.0.0/0)

з.ы. а когда что нибудь ответят люди, с логотипом длинка?

Сети обязательно должны быть разные. Касательно первого роутера DI на вашей схеме, он не может указать на LAN интерфейсе или маршрутизировать на LAN, если вы на cisco будете nat`ить запросы в сеть за DFL-1600 проблемы не должно быть. Либо поменять этот роутер на DFL-210 и на нем уже настроить всю маршрутизацию.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Первый DI работает замечательно и cisco ничего не NAT-т. NAT-т DFL-1600.
Из сетей 100 и 101 замечательно видна 12-я

Возможно ли создать в DFL-1600 второй IP-интерфейс на стороне LAN ?

Кстати, если менять DI на DFL, какая на нем должна быть конфигурация?

1)Вы можете создать alliase на lan интерфейсе, но не сможете при этом контролировать доступ из лан в алиас и обратно. Сделать это можно следующим образом, добавить подсеть и IP из этой полсети в адресную книгу, далее прикручиваете IP через ARP к LAN а подсеть прикручиваете к lan в маршрутах.

2)Ничего сложно, вы должны объеденить обе сети в группу и подставить их в качестве local network, на DFL-1600 эту группу в качестве remote network, затем на DFL-210 прописать маршрут в сеть за cisco, создать необходимые правила.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Мне контролировать не надо...
хочу создать правила типа "IPSecNet150_1 nat to alliase1" и "IPSecNet150_2 nat to alliase1" что бы все что выходило из конкретного IPSec-а (т.е. приходило с конкретного DI) сначала nat-ть каким-либо ip-м из LAN DFL-1600 (для каждого удаленного DI выделим свой ip-к на DFL-1600) а только потом передавалось в lan.
Это возможно?
Не нашел, как allias-ы создавать ((


Еще раз говорю, что сеть с циской я подключил. Она работает. Проблемы возникают с сетями, если у них одинаковая адресация. Поэтому и хочу их NAT-ть, каждый удаленный DI своим ip-м до того, как они выйдут в lan (т.е. в 14-ю сеть)

Похоже, единственный рабочий вариант следующий
DFL-1600 <VNP> <DI-804_1> <DI-804_2 (работает как шлюз+NAT)>
Настройки
DFL-1600 LAN 192.168.14.1 WAN 192.168.12.1
DI-804_1 LAN 192.168.15.2 WAN 192.168.12.2
DI-804_2 LAN 192.168.150.x WAN 192.168.15.3
Так то хоть работать будет?