Глобальная сеть построена на CISCO оборудование и используеться IPSEC между ними .Основной роутер (Cisco3745) и интернет шлюз (UNIX) находятся в центральном офисе.Решили новые филиалы подключить через D-Link DI-804HV.
VPN канал D-Link(филиал) и Cisco(центр) образовался без проблем .
Сети друг друга увидели(все пингуються).Но компьютеры которые за D-Link-ом не могут выходить в интернет через шлюз. В случае филиалов с Cisco (1721 или 2611) проблем нет.
И где же искать проблему?

Перепрошейте прошивкой 1.42
ftp://ftp.dlink.ru/pub/Router/DI-804HV/ ... V_V142.zip

На нем прошивка свежее V1.43

Вы хотите чтобы интернет заработал через IPSec???
Такое работать не будет.

И в чем же проблема ?

В том, что рутить в IPSec туннель нельзя.

Ситуация аналогичная. Не стал создавать новую тему.


Схема рабочая

192.168.0.0/16 -Linksys-dmz-Cisco 2851- Inet - DI-804HV - 172.16.0.0/24

Схема исследуемая

192.168.0.0/16 -Cisco 2851- Inet - DI-804HV - 172.16.0.0/24



В филиале D-Link DI-804HV с fw 1.44b11.
В головном офисе Cisco 2851 c стоящим в DMZ Linksys RV-082(рабочий туннель с D-Link пока на этом оборудовании).
Прописав на D-Link
remote subnet - 0.0.0.0
remote mask - 0.0.0.0

прописав комп-рам приватной сети за D-Link прокси из удаленной приватной сети - получают Интернет без проблем.Коммуникация с комп-ми, которые нах-ся в приватной сети за Linksys без проблем. Через Cisco пробовал выпускать через NAT - ходют как милые.

Пытаюсь перевести филиалы на Cisco. Туннель поднялся с двух сторон без проблем. Однако - со стороный головного офиса в филиал - icmp - ходят, со стороны филиальной сети - только до ДМЗ, в приватную сеть - ну никак не хотят !!! ACL - все в порядке(настройки на D-Link(в том числе и ACL) остались такими же, какими они были при рабочем безпроблемном туннеле с Linksys).
Что интересно - при аналогичных настройках Cisco - 3com - указанная схема работает без проблем.(отличия - только в шифровании).

В филиалах еще Linksys BEFSX и подобные. Буду пробовать на них.

Протестировал на Linksys BEFSX41.
Маршрутизация через туннель - просто на ура.
Думаю, и на D-Link DI-804HV должно все заработать.
Нашел свою ошибку - забыл исключить из NAT листа удаленную подсеть через D-Link.
Завтра планирую настройку - на этой моделе D-Link, отпишусь по результатам.

Пытаюсь настроить IPSec туннель между Cisco 1721 (ver 12.4(18)) и D-Link DI-804HV(ver 1.43). Делаю, как написано в FAQе (http://www.dlink.ru/technical/faq_vpn_4.php).

Туннель поднимается, но пинги не ходят.
На циске в таблице маршрутизации нет никакого упоминания про подсеть 192.168.3.0.
В примере подсеть 192.168.3.0 упоминается всего один раз: access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255. Должна ли циска на основании этого ACL создавать роут после того как туннель поднимется?

Если прописываю ip route 192.168.3.0 255.255.255.0 eth0, то пинги ходить начинают, но через один (потери ~50%).

Причем интересно, что если из 3-ей сети пинговать 192.168.0.190(интерфейс циски), то потерь нет. Если же пинговать комп в 0 сети, то потери есть. В обратную сторону потери есть на любой адрес из 3 сети(комп или рутер не имеет значения).

Рутеры менял (ставил planet вместо d-link), даже снимал VPN модуль с 1721. Ничего не помогло.

обновите на DI прошивку до последней версии.-)

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо.
Но проблема была в циске. После того как на локальный интерфес(192.168.0.190) применили ACL permit ip any any log на вход, все заработало(без log не работает). До этого на этот интерфейс никакие ограничения не накладывались, циски и версии IOS менялись в процессе тестирования.