10.0.0.0/24 - реально есть я за ним (Dlink) даже телефон sip повесил - адрес 10.0.0.5 - но не пингуется тоже (

А это с Dlink
Host Name or IP address
Ping 10.0.0.5 Successfully!

На компьютере (какой, кстати, у него адрес?) в LAN маршрутизатора прописан адрес его LAN-интерфейса в качестве шлюза по умолчанию?

Компьютер 10.0.0.3 - прописан gw 10.0.0.1 - но он сейчас выключен.
НО похоже есть изменения которые я не заметил сразу, я все пинги проводил с GUI Dlink и оттуда пинга нет на 10.8.0.1 - но сейчас с интерфейса SIP телефона (10.0.0.5) на 10.8.0.1 есть пинг.

Это уже прогресс
PING 10.8.0.1 (10.8.0.1): 56 data bytes
64 bytes from 10.8.0.1: icmp_seq=1 ttl=63 time = 51 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=63 time = 51 ms
64 bytes from 10.8.0.1: icmp_seq=3 ttl=63 time = 52 ms
64 bytes from 10.8.0.1: icmp_seq=4 ttl=63 time = 51 ms
64 bytes from 10.8.0.1: icmp_seq=5 ttl=63 time = 51 ms

traceroute to 10.8.0.1 (10.8.0.1), 30 hops max, 98 byte packets
1 10.0.0.1 (10.0.0.1) 1.53 ms
2 10.8.0.1 (10.8.0.1) 52.17 ms

Но вот с сервера по прежнему пинга на dlink и сеть за ним,тот же сип телефон, - Нет. C Dlink GUI на 10.8.0.1 тоже нет.

Что выключено - компьютер? А зачем? Мы туннель настраиваем или куда ?
Уточняем:

LAN за DI:
Сеть: 10.0.0.0/24
Адрес LAN-интерфейса DI: 10.0.0.1/24
Компьютер: 10.0.0.3/24 , gw 10.0.0.1
Телефон: 10.0.0.5/24 , gw 10.0.0.1

Сервер:
(Псевдо)сеть: 10.8.0.0/24
Адрес (псевдо)интефейса : 10.8.0.1/24

Ситуация:
ping телефон -> 10.8.0.1 - да.
ping компьютер -> 10.8.0.1 - неизвестно.
ping сервер -> 10.0.0.5 - нет.
ping сервер -> 10.0.0.1 - неизвестно.

Всё правильно?

Если так, то напишите на сервере:
route add -net 10.0.0.0 netmask 255.255.255.0 dev lo:0
Ситуация изменилась?
Что говорит traceroute 10.0.0.5 ?

Ну у меня SIP телефон - является полноценным шлюзом на который можно заходить и пинги пускать и трейсы делать так что как я думаю равнозначен PC по крайней мере для тестов. Если сервер будет видеть телефон то будет видеть и компьютер.



Верно

ping телефон -> 10.8.0.1 - да.
ping компьютер -> 10.8.0.1 - да
DI 10.0.0.1 -> 10.8.0.1 - нет - c GUI DI -Ping 10.8.0.1 failed!!!

cервер -> 10.0.0.5 - нет
сервер -> 10.0.0.1 - нет
сервер -> 10.0.0.3 - нет



Добавил


route -n




Результат ухудшился

ping телефон -> 10.8.0.1 - нет.
ping компьютер -> 10.8.0.1 - нет
DI 10.0.0.1 -> 10.8.0.1 - нет

cервер -> 10.0.0.5 - нет
сервер -> 10.0.0.1 - нет
сервер -> 10.0.0.3 - нет


traceroute to 10.0.0.5 (10.0.0.5), 30 hops max, 40 byte packets
1 * * *
............
28 * * *
29 * * *
30 * * *
Результат - ничего не говорит.

Sorry, опечатка. Я имел в виду вот такой маршрут:

route add -net 10.8.0.0 netmask 255.255.255.0 dev lo:0

Добавил



Сервер ->Сеть

Ping
10.8.0.1 -> 10.0.0.1 - ДА
10.8.0.1 -> 10.0.0.3 - ДА
10.8.0.1 -> 10.0.0.5 - ДА

Traceroute


Cеть -> Сервер
ping
10.0.0.1 -> 10.8.0.1 - нет
10.0.0.3 -> 10.8.0.1 - нет
10.0.0.5 -> 10.8.0.1 - нет

Traceroute

C 10.0.0.3, 10.0.0.5 - одинаков:
tracert 10.8.0.1

Трассировка маршрута к 10.8.0.1 с максимальным числом прыжков 30



* x.x.x.x - Внешний адрес DI

Откуда у Вас снова взялся этот маршрут:
10.0.0.0 y.y.y.129 255.255.255.0 UG 0 0 0 eth0 ?
Удалите его!

Проверил - оказывается при рестарте IPSEC, маршрут
10.0.0.0 y.y.y.129 255.255.255.0 UG 0 0 0 eth0 добавляется автоматом.

Удалил маршрут результат с Сервера не пингуется ничего, с другой стороны 10.8.0.1 пингуется со всего.

Вот ещё идея (всё, что делали раньше - отменяется!).

1. Создаём алиас на основном интерфейсе:
ifconfig eth0:0 10.8.0.1 netmask 255.255.255.0

2. Удаляем маршрут, созданный при запуске демона:
route del -net 10.0.0.0 netmask 255.255.255.0
Наверное, в настройках openswan его создание можно как-то отключить,
нужно читать документацию.

3. Создаём новый маршрут, но уже через алиас:
route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.8.0.1

Криво, конечно, но должно работать.

Проверил, с такой конфигураций ping идет в обе стороны, а вот Traceroute со стороны сервера на сторону DI ничего не показывает - кроме "*", так и должно быть?

Не то, чтобы должно...но объяснить, почему это так, и не буду пытаться.
С другой стороны, traceroute -I должен в результате доходить до точки назначения. Если у Вас - так, то поводов для беспокойства нет.

Вообще, Ваша схема весьма познавательна . От классического запуска туннеля маршрутизатор <-> Openswan, который для DI-8xx или DFL обычно настраивается за 5 минут, она отличается "сущей малостью" - отсутствием второго интерфейса на стороне сервера. Мне несколько раз приходилось "поднимать" такие тоннели, но разбираться никогда не было времени: во всех этих случаях было проще физически добавить сетевой адаптер.

Вообщем то доходит если так
traceroute 10.0.0.5 -I 10.8.0.1
traceroute to 10.0.0.5 (10.0.0.5), 30 hops max, 10 byte packets
1 10.0.0.5 (10.0.0.5) 61.040 ms




Был бы сервер Linux рядом, а не в другой стране )) все бы решилось быстро ))

Кстати пока мы тут все это настраивали, знакомый администратор закинул мне еще один способ решения этой задачи - вот так он ее решил:

СХЕМА 1
----------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------
no lan=(SERVER)=eth0[y.y.y.y]<------VPN------>[x.x.x.x]WAN=(DI-808hv)=LAN[10.0.0.0/24]

SERVER:
[ipsec.conf]
interfaces=%defaultroute
nat_traversal=no
nhelpers=0

conn d-link
left=y.y.y.y
leftid=y.y.y.y
leftsubnet=y.y.y.y/32
leftnexthop=%defaultroute
right=x.x.x.x
rightsubnet=10.0.0.0/24
rightid=x.x.x.x
keyexchange=ike
ikelifetime=240m
keylife=3600s
pfs=yes
compress=no
authby=secret
keyingtries=0
auto=start

При это в маршруты и настройки сети ничего не добавляем - соединение поднимается IPSEC с автоматическим добавлением того маршрута на сеть 10.0.0.0


DI-808hv:



Настройки

----- IKE PROPOSAL INDEX -------

Proposal Name: IKE Proposal
DH Group: Group 2
Encrypt Algorithm: 3DES
Auth Algorithm: MD5
Life Time: 28800

----- IPSEC PROPOSAL INDEX -----

Proposal Name: IPSEC Proposal
DH Group: Group 2
Encap Protocol: ESP
Encrypt algorithm: 3DES
Auth algorithm: SHA1
Life Time: 3600


При этих настройках тоже все работает и VPN поднимается непосредственно на интерфейс eth0.

----------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------
А вот уважаемый vve наше второе решение данной ситуации предполагающее создание псевдо-локальной сети (через Alias) на стороне сервера при наличии только одного ethernet интерфейса:

СХЕМА 2
----------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------
eth0:0[10.8.0.1]=(SERVER)=eth0[y.y.y.y]<------VPN------>[x.x.x.x]WAN=(DI-808hv)=LAN[10.0.0.0/24]

SERVER:
[ipsec.conf]
interfaces=%defaultroute
nat_traversal=no
nhelpers=0

conn d-link89
left=y.y.y.y
leftsubnet=10.8.0.0/24
leftnexthop=%defaultroute
right=x.x.x.x
rightsubnet=10.0.0.0/24
keyexchange=ike
ikelifetime=240m
keylife=3600s
pfs=yes
compress=no
authby=secret
keyingtries=0
auto=start

Далее так как сказал ув. vve


Решение для автоматического удаления маршрута по пункту два я не нашел пока так что публикую так, думаю спецы смогут это сделать и так.



DI-808hv:


Настройки

----- IKE PROPOSAL INDEX -------

Proposal Name: IKE Proposal
DH Group: Group 2
Encrypt Algorithm: 3DES
Auth Algorithm: MD5
Life Time: 28800

----- IPSEC PROPOSAL INDEX -----

Proposal Name: IPSEC Proposal
DH Group: Group 2
Encap Protocol: ESP
Encrypt algorithm: 3DES
Auth algorithm: SHA1
Life Time: 3600
----------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------
==============================================
Спасибо огромное vve за помощь в проделанной работе. Тема закрыта.