День добрый
Имеем сетку

По центру стоит дфл-800 в двух точках dfl-210 сделать тунель между 210 нет возможности потому как разные провайдеры и адреса не смаршрутизированы
очень хочется что бы пользователи из сетки 10.10.111.0/24 попадали на сервера из сетки 10.10.112.0/24
На сколько я понимаю надо прописать на центральном DFL-800 какие то маршруты и правила, но вот какие понять не могу
Все тунели работают без проблем.

Настройки роутеров какие?

стандартные все сервисы через IPSec в другую сеть
Тунели работают исправно

Ни кто не может подсказать по вопросу

Надо сделать, как обычно для DFL, 2 вещи:

1. Маршрутизацию. Для этого в настройках каждого из IPSec туннелей написать вместо сети главного офиса группу сетей (главный офис + удаленная сеть). Это делается на всех 3-х маршрутизаторах. Фактически, надо добавить нужную удаленную сеть для каждого из двух IPSec каналов. При этом нужные маршруты добавятся автоматически.

2. Разрешающие правила вида:
Allow IPsec_1 Remote_Net_1 IPsec_2 Remote_Net_2 all-services
Allow IPsec_2 Remote_Net_2 IPsec_1 Remote_Net_1 all-services

Хотя, для надежности и оптимизации пропускной способности, часто рациональнее сделать прямой IPSec канал между дочерними офисами.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

канал между дочками не возможен я бы и рад был его сделать
Разные провайдеры без выхода в инет

Насколько я понимаю сии правило необходимы только в головном маршрутизаторе

Еще не понятно на дочках прописываю лан центра + лан второй дочки
Тут все нормуль
Если в центре я пропишу 2 сетки включая лан центра будет бардак по маршрутам. если 2 дочки то из центра не попасть на дочки потому как маршруты будут равноценные и на разные интерфейсы

up up

Да. Но на дочках тоже правила нужно добавить/исправить для удаленной сети, транзитом через центр.

Бардака не будет. Т.к. у вас в обоих каналах IPSec только со стороны центра вместо одной сети будет фигурировать две. В плане маршрутизации для центра ничего не меняется.

Для IPSec_1 вместо соединения сетей Центр <-> Дочка_1 будет Центр+Дочка_2 <-> Дочка_1

Для IPSec_2 вместо соединения сетей Центр <-> Дочка_2 будет Центр+Дочка_1 <-> Дочка_2

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ничего не понял
Значит так на дочке1 (wan 77.34.103.45)
Я создал группу адресов ADR1 включающих в себя LAN_MAIN, LAN_FIL2
В настройках интерфейса FIL1-Main_IPSec в качестве удаленной сети прописываю ADR1
Получаю 2 маршрута автоматом
192.168.0.0/24 FIL1-Main_IPSec
10.0.111.0/24 FIL1-Main_IPSec

Правила тут выглядят следующим образом
Allow Lan_to_IPsec all-nets Lan_to_IPsec all-nets all_services
где Lan_to_IPsec = lan_fil1, FIL1-Main_IPSec

На второй дочке все аналогично только вместо FIL1 фигурирует FIL2
Ну и маршруты
192.168.0.0/24 FIL2-Main_IPSec
10.0.112.0/24 FIL2-Main_IPSec

На голове
В группу адресов должно входить LAN_FIL1, LAN_FIL2 (не уверен потому как не работает)
В оба интерфейса FIL1_Main_IPSec, FIL2_Main_IPSec в качестве удаленной сети ставлю группу адресов


Правила анологичны
Правила тут выглядят следующим образом
Allow Lan_to_IPsec all-nets Lan_to_IPsec all-nets all_services
где Lan_to_IPsec = lan_fil1, FIL1-Main_IPSec, lan_fil2, FIL2-Main_IPSec, lan_main

Где я ошибаюсь

Для настроек IPSec центра как были, так и должны сохраниться удаленные сети - по своей одной на каждый филиал.

Принцип простой. Где ищем удаленную сеть, там ее и добавляем.

Центр по-прежнему ищет только одну нужную сеть в нужном дочернем офисе.

Пример для канала Центр - Дочь_1:На обоих DFL cоздаем группу сетей Центр_сеть + Дочь_2 сеть.
В центре в настройках IPSec указываем эту группу как свою, сеть Дочка_1 как удаленную.
На дочьке 1 указываем эту группу как удаленную, как свою указываем сеть Дочка_1.

И это все в плане маршрутизации. Изменения, как видите, минимальные.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Судя по тому что вы хотите получить, это стандартная схема hub and spoke пример настройки можете посмотреть тут http://www.mediafire.com/?vkzg3o4ztjy

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

А вот за это спасибо буду строить %)