Здравствуйте всем.

На данный момент имеется 2 роутера DI-804HV, установленных в удаленных офисах (офис1 и офис2, оба подключены к одному провайдеру). Поднят IPSec туннель между ними. К нему претензий нет. Хотелось бы следующего: чтобы трафик к/от внешней сети (Интернет) машин, сидящих в сети офиса2, роутился через удаленный офис (офис1). Грубо говоря хочется, чтобы машины офиса1 ходили в Интернет через свой роутер (так и есть сейчас), а машины офиса2 ходили в Интернет через этот туннель и далее через роутер офиса1 наружу.
Пробовал прописывать на 804-х статиком роуты во внешнюю сеть через внутренний ip удаленного роутера - трафик не идет. Вероятно, не умеют они использовать в качестве gw туннельный интерфейс.
Вопрос: реально ли это все таки реализовать на 804-х, либо нужно в офис1 ставить вместе 804-го, например, dfl-210 ?

Такая задача уже стала типовой.

Придется ставить в 1-й офис DFL-210.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо большое за ответ. Встают сразу же следующие вопросы:
1. каким образом заставить 804-й во втором офисе своих клиентов во внешнюю сеть пускать через dfl-210?
2. В разделе WAN настраивать доступ через PPTP, с указанием в качестве ip PPTP-сервера ip, прописанный на внешнем интерфейсе dfl-210 (с соответствующей настройкой самого dfl-210)?
3. При этом сохранится доступ к сети офиса1 из офиса2 (собственно, основное предназначение VPN)? - скорее всего да, т.к. на то он и PPTP-VPN

см.п.2

Именно так.

Нет. внутренние сети офисов связать, как и было - по IPSec.

Можно было бы сделать, как вы говорите. Но при условии использования в обоих офисах DFL-210. Т.к. по PPTP каналу они работали бы без NAT. Но DI-804HV НАТирует доступ в инет через WAN порт.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, спасибо большое за исчерпывающий ответ.

Добрый день.

Приобрели DFL-210. Настроил на нем PPTP сервер согласно этому мануалу с добавлением правил для NAT. Затем произвел настройку IPsec туннеля для объединения локальных сетей офиса по этому мануалу.

DI-804HV выходит во внешнюю сеть через pptp соединение с dfl-210 прекрасно. А с IPSec проблемы. В статусе обоих роутеров IPSec поднято (Established). Пытаюсь пинговать с машины одного офиса машину другого офиса (либо внутренний ip удаленного роутера) - нет ответа. Т.е. трафик по IPSec почему то не ходит. Что и где я мог упустить?

Еще вопрос, сейчас схема подключения такая: WAN на dfl-210 настроен ip static. Т.к. нужно чтобы во внешнюю сеть офис за DI-804HV ходил через DFL-210, то WAN на DI-804HV был настроен как PPTP client, который подключается к DFL-210 с помощью pptp туннеля. В связи с такой схемой, какие настройки нужно использовать чтобы поднять IPSec туннель между ними? Какие endpoint? Концы PPTP туннеля или те ip, которые прописаны в разделах WAN?

Неужели никто не поднимал такой схемы? YuriAM выше говорил, что это типовая задача уже.

Задача типовая на DFL с обоих сторон.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Т.е. автор второго поста в этом топике ошибался?
DI-804HV не умеет поднимать IPSec туннель поверх WAN-PPTP ?

Помогло обновление прошивки до последней на DI-804HV