За di-804hv - одна локальная сеть 192.168.99.0/24 смотрит в инет через PPPoE (адрес статический)

За DFL-210 - две подсети .локальная 192.168.0.0/24 , роутер на базе w2k3rras 192.168.0.77 и вторая сеть 192.168.40.0/24 . смотрит в инет через PPPoE (адрес статический).

Надо из сети 192.168.99.0 иметь двунаправленный доступ и к сети 192.168.0.0 и к сети 192.168.40.0 .
Пытался для каждой подсети создать по IPSEC туннелю, но второй туннель не устанавливается. Если на di804hv первый туннель запретить, то второй туннель быстро устанавливается.

Вместо DFL был тоже DI-804hv, писал об этом здесь:
viewtopic.php?t=96553&start=0&postdays=0&postorder=asc&highlight=
и мне посоветовали взять dfl-210

Смотрел здесь FAQ:
http://www.dlink.ru/ru/faq/92/520.html
http://www.dlink.ru/ru/faq/92/510.html

Как мне настроить IPSEC в DFL-210, чтобы поднялись оба туннеля IPSEC к обоим подсетям?

В той теме вам посоветовали 2-е штуки DFL-210 и отсутствие проблем. Так бы оно и было.

2 IPSec туннеля в такой конфигурации не поднимутся. Надо поднимать один.

В вашем же теперешнем варианте можно попробовать со стороны DFL-210 указывать одну большую подсеть, которая покрывает обе сети, находящиеся за ним.

Это можно сделать сменив адресацию. Или указать сеть вида 192.168.0.0/18. Она покроет 192.168.0.0/24 и 192.168.40.0/24. Если, конечно, DI-804 эту сеть в настройках проглотит.

И ваша топология не до конца ясна. Можно ее и поменять как-нибудь.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

вариант с сетью /18 или /16 не подходит т.к. DI-804HV устанавливает еще один туннель с сетью 192.168.55.0/24 c DI-804hv на границе, который отлично работает, т.к. за ним только одна подсеть. Менять адресацию тяжеловато, слишком много компов.

В состав DI-804HV входит и PPTP сервер. Может с DFL-210 PPTPClient_ом на него зайти...За DFL я спокоен, но пока не знаю как DI сможет это смаршрутизировать... Что скажете?

Разделяю ваши опасения. Но, от чего бы не попробовать?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо.Мысли так и прут. Позволю еще вопрос. А если сделать на DFL-210 парочку PPPoE и каждый из них со своим внешним IPадресом. ( уже сделал ).
Соотетствено на том конце DI-804HV будет подключаться к двум разным адресам и должно проглотить это дело. Но никак не пойму как на DFL-210 настроить IPSec - в настройках IPSEC нет привязок к интерфейсам - на каком интерфейсе они будут слушать и отзываться (на PPTP и L2TP есть привязка...)
DI вот что пишет : Wednesday June 17, 2009 20:57:20 Error : unknown IP address of peer gateway 78.132.230.ххх

Не уверен. Но где-то вроде писалось, что DFL не установит два IPSec канала с одним и тем же адресом.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сомневаюсь в этом ограничении. Ведь техподдержка мне посоветовала использовать 2 штуки DFL-210 на концах туннеля для полного счастья.

Позволю отступление, которое мне пришло в голову после мытарств с DI-804HV:
В салоне мебели менеджер советует кровать - всем хороша: и широкая и упругая и вроде как даже с подогревом и охлаждением. В салоне над этой кроватью висит плакат - парень и девушка под одеялом чем то активно занимаются.
Беру эту кровать. Через неделю у нее ломаются ножки и продавливается матрац. Менеджер объясняет: так вы что на ней сексом занимались? если еще и сексом - это вам другая нужна - в 4 раза дороже! Не прослеживаете аналогию между DI-804HV и DFL-210?

С DFL-210 на каждом конце вы бы подняли один IPSec туннель с нужным набором подсетей на каждой из сторон. И все!

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Юрий просветите пожалуйста тогда различия в настройке типа инкапсуляции IPSEC: Tunnel и Transport или Both. В букваре по DFL-210 ничего путного об этом нет, а в моем понимании это одно и тоже.

Увы. В этом я тоже не силен. Надежды только на букварь.

Аналогию прослеживаю. Однако, не готов согласиться. Если учитывать позиционирование, функционал и производительность DI-804 и DFL-210, то 4-х кратная разница в цене совершенно оправдана.

Если немного продолжить постельную тему, то я бы сравнил DI-804 c качественной раскладушкой, а DFL-210 c добротной двуспальной кроватью.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да уж. раскладушки и кровати Но, если посмотреть на мои мучения и действия, которые я делаю с железками, а они с моим мозгом - аналогия другая:
di-804 - резиновая партнерша
dfl-210 - живая
)))))))
Раскопал про инкапсуляции.
Для Транспорт - шифрует тело пакетов, а заголовок оставляет как есть
Для Туннель - шифрует весь пакет и приклеивает вначале свой заголовок. Вобщем, несмотря на то что Transport - слово по-солиднее, для организации туннелей router2router надо делать инкапсуляцию Tunnel

Напрасно обижаете 804 - вполне живая железка, но для SOHO и очень простых применений.
А для производства, где структура сети сложнее и задачи меняются, уже как минимум DFL или даже другие бренды.

IPsec в транспортном режиме шифрует лиш содержимое "нагрузки", в режиме tunnel, исходный пакет полноситью инкапсулируется ("заворачивается") и шифруется в пакет IPSec. в режиме both работают оба способа.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.