Здравствуйте! Возникла задача подключить отдел к интернету. Он находится в другом здании и начальством было принято решение сделать это через IPsec. Для них был куплен DFL-210. При чтении мануалов и просмотре configuration examples узнал что такое можно сделать wan-wan, но проблема в том, что на DFL-800 занят порт wan2 подключением к интернету, порт DMZ внешним почтовиком, а порт wan1 неработоспособен.

Конфигурация сети:

DFL-800:
Lan_ip 192.168.1.1
Lannet 192.168.1.0/24
wan2_ip 87.244.17.186
wan2_net 87.244.17.184/30

DFL-210:
DMZ_ip 169.192.0.198
DMZ_lannet 169.192.0.0/24
Интерфейс Lan планируется использовать под другие нужды

Есть физический канал от DFL-210 до DFL-800.
Как дать подсети находящейся за DFL-210 доступ в интернет?

В вашем случае никако безопастности не будет. Если кто то подклчиться к этому кабелю, он получит досту к компьютерам подключенным к тому интерфейсу DFL-800 к котому подключен и DFL-210 а шифровать публичные данные смысла нет.

Как вариант подключить его к интерфейсу DMZ вместе с почтовым сервером, на DMZ поднять VLAN до DFL-210, а по нему уже поднять IPSec так бцдет более безопасно.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

А почему не работает следующая схема:
Кабель подключен на DFL-800 к Lan на DFL-210 к Wan

Конфигурация DFL-800:

Создан VLAN
Ethernet Lan
VLANID 0
IP adress 192.168.150.1
Network 192.168.150.0/24

Создан PSK

Создан IPSec
Local Network: 192.168.1.0/24
Remote Network: 169.192.0.0/24
Remote Endpoint: 192.168.150.2
Encapsulation Mode: Tunnel

Написаны правила:
1.
Allow
all_services
Source__________Destination
Lan_____________VPN
192.168.1.0/24____169.192.0.0/24
2.
Allow
all_services
Source__________Destination
VPN_____________Lan
169.192.0.0/24____192.168.1.0/24

Конфигурация DFL-210:

wan_ip 192.168.150.1
wannet 192.168.150.0/24

dmz_ip 169.192.0.198
dmznet 169.192.0.0/24

Создан PSK

Создан IPSec
Local Network: 169.192.0.0/24
Remote Network: 192.168.0.0/24
Remote Endpoint: 192.168.150.1
Encapsulation Mode: Tunnel

Написаны правила:
1.
Allow
all_services
Source__________Destination
Lan_____________VPN
192.168.1.0/24___169.192.0.0/24
2.
Allow
all_services
Source__________Destination
VPN_____________Lan
169.192.0.0/24____192.168.1.0/24

Туннель не поднимается, а в логах тишина.

Надо ли что-то дописывать в таблицу роутинга?

И не будет работать. Потому что подключены к LAN и с такими настройками.

P.S. Читайте мой пост выше использование IPSec в вашем случае не актуально.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.