Есть 2 DFL-210, между ними поднят IPSEC туннель
Задача в том, чтобы пользователи с точки №1 выходили в интернет, используя выход в интернет на точке №2. какие правила нужно прописать, что бы HTTP, POP3 и SMTP заворачивался через точку №2

_________________
DFL-210, DI-804HV, DI-808HV, DI-824, DIR-100,

1. Разрешить хождение через IPsec сети all-nets (со стороны интернета указать вместо определенной сети), при этом руками прописать правильный роутинг на другой стороне - удаленная сеть на ipsec, интернет (если его надо оставить локальный) - на wan

2. На удаленной (с интернетом) стороне сделать правило NAT ipsec/remote_net wan/all-nets (нужные вам сервисы)

3. Создать альтернативную таблицу alt_ipsec с единственным дефолтным маршрутом на ipsec

4. Создать правило PBR lan/lannet wan/all-nets на нужную вам таблицу forward: alt_ipsec, return: main, svc: (нужные вам сервисы)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Думаю, можно спокойно обойтись без PBR. Потому что, мне кажется, человек просто хочет весь инет трафик пустить через удаленный офис.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ну если весь трафик, то достаточно пунктов 1 (с автоматическим роутингом) и 2.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Попробую сегодня реализовать пункт 1 и 2, если я так понимаю использовать PBR, то в случае обрыва канала между офисами, интернет трафик пойдет через своего провайдера точки №1???

_________________
DFL-210, DI-804HV, DI-808HV, DI-824, DIR-100,

Нет.

Для резервирования канала можете использовать
http://dlink.ru/ru/faq/85/576.html

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Только вот добрался до настройки. хотел бы уточнить некоторые моменты

точка №1 - интернет должен ходить через точку №2

1. Разрешить хождение через IPsec сети all-nets (со стороны интернета указать вместо определенной сети) - это как я понимаю на точке №1 в правилах настройки туннеля Allow source(Lan/lannet) dest(Fw_Ipsec_tunnel/Fw_remoteNet)
вместо Fw_remotenet указать all_nets? или это нужно прописать в правилах туннеля на точке №2??

2. на точке №1 создать маршрут до точки №2 - если не трудно помогите его создать - я очень не силен в этих маршрутах и постоянно путаюсь. смысл понимаю, а как выразить это в настройках ...

заранее благодарен

_________________
DFL-210, DI-804HV, DI-808HV, DI-824, DIR-100,

По вашему описанию: 1 - без интернета, 2 - с интернетом

1. Разрешить хождение через IPsec сети all-nets (со стороны интернета указать вместо определенной сети). То есть там где интернет, local network будет all-nets, а там где его нет - remote.

2. На удаленной (с интернетом) стороне сделать правило NAT ipsec/remote_net wan/all-nets (нужные вам сервисы)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

приведите, что у вас уже настроено + раблицу маршрутов + правила PBR

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.