Добрый день, весь мозг сломал но так и не смог нормально поднять РРТР туннель между офисами. Ситуация - головной офис - DSA-3110, филиалы - (5шт.) DFL210 нужно объединить локальные сети (smb), объясните, плз, по шагам...
Исходные данные:
головной оффис - внутренняя сетка - 192.168.0.0/27 РРТР server - 172.22.0.1
филиал - внутрення сетка - 192.168.0.64/26 РРТР - 172.22.0.201

Роуты на сети через РРТР прописаны

Дабы не плодить темы, задам вопрос здесь:

Пытаюсь создать IPsec туннель.
Есть следующая схема:
DFL800(1)--> DSL--> INTERNET--> DSL--> DFL800(2)
В обоих DSL, DMZ-стоит - IP WAN порта DFL-ов.
В DFL-ах настраиваю IP туннель и правила.
Удалённую точку доступа прописываю IP адрес DSL (тот который в INTERNET выходит, т.е. на WAN висит.)
И ничего не работает.
Пытаюсь зайти с DFL(1) в DFL(2), смотрю логи DFL(1):

TO Sekim конкретика?
Внутренние адреса центрального офиса и филиалов с масками. Адреса IP сети VPN роутеров?, Какие роуты куда настроены? Что именно не работает? Все ли роуйтеры держат IPsec?

При этом на DFL(2) следующая картина:

192.168.1.2 - чей интерфейс?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это WAN порт DFL(2)
192.168.1.100 - WAN порт DFL(1)

У вас DFL напрямую друг друга видят или через белую сеть? То, что вы закрыли на скрине, должно быть адресом другого DFL.

Показывайте настройки ваших IPsec.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

То что я закрыл на скрине это – IP адрес WAN порта DSL модема. В логе DFL(2) адрес DSL(1) и наоборот.
DSL(1)--------------------------------------------------------
DMZ-192.168.1.100
DFL(1)-------------------------------------------------------
IPSec:--------
Local network : 192.168.0.0/24
Remote network: 192.168.5.0/24
Remote endpoint: ip_internet_adress_ADSL(2)
Encapsulation Mode: tunnel
IKE Algorithms: High
IKE Life Time: 28800
IPsec Algorithms: High
IPsec Life Time: 3600
Pre-shared Key: 123456789

Rule: IPsec_to_lan------------
Action: Allow
Service: all_services
Interface(Source): tunel
Network (Source): 192.168.5.0/24
Interface(Destination): lan
Network (Destination): 192.168.0.0/24
Rule: Lan_to_IPsec------------
Action: Allow
Service: all_services
Interface(Source): lan
Network (Source): 192.168.0.0/24
Interface(Destination): tunel
Network (Destination): 192.168.5.0/24

DSL(2)--------------------------------------------------------
DMZ-192.168.1.1
DFL(2)-------------------------------------------------------
Ipsec:
Local network : 192.168.5.0/24
Remote network: 192.168.0.0/24
Remote endpoint: ip_internet_adress_ADSL(1)
Encapsulation Mode: tunnel
IKE Algorithms: High
IKE Life Time: 28800
IPsec Algorithms: High
IPsec Life Time: 3600
Pre-shared Key: 123456789

Rule: IPsec_to_lan------------
Action: Allow
Service: all_services
Interface(Source): tunel
Network (Source): 192.168.0.0/24
Interface(Destination): lan
Network (Destination): 192.168.5.0/24
Rule: Lan_to_IPsec------------
Action: Allow
Service: all_services
Interface(Source): lan
Network (Source): 192.168.5.0/24
Interface(Destination): tunel
Network (Destination): 192.168.0.0/24

Что значит: видят напрямую? По крайней мере я с компа выхожу через один в нет и захожу в настройки другого. А когда на компе пытаюсь набрать адрес 192.168.5.x то собственно и происходит то что я показал в логах.

DFL у вас случайно не за NAT?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Да, на обоих DSL модемах осуществляется NAT. В каждом DSL модеме в качестве DMZ прописан порт WAN DFL-a. А у DFL-ов в качестве шлюза прописан IP порта LAN DSL-ов.

Я хотел сказать, что DSL модемы работают в режиме router. Они сами подключаются через PPP к инету и осуществляют трансляцию.

Скажите хоть, будет такая цепочка работать? Или надо будет DSL в режими bridg переключать и PPPoE настраивать на самом DFL? Последнее очень гиморно, т.к. надо будет переделывать кучу уже существующих правил, да и нет нельзя надолго вырубать.

Укажите ID Type = IP и ID = внешний IP адрес. Но это будет работать только в случае, если у вас адреса статические. Иначе - переводите модемы в бридж, это по многим моментам будет правильнее.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

IP статические.
Поставил ID Type = IP и ID = внешний IP адрес - всё равно не работает.
Вот лог с DFL(1) - попытка соединения с DFL(1) к DFL(2)