Добрый день,
Есть DFL-210 и ISA 2006 SP1
За DFL-210 одна подсеть (1) , за исой - две подсети - внутренняя (2) и DMZ (DMZ)
Между DFL и Исой поднят IPSEC

пинг из подсети 1 в 2 идёт, из 1 в DMZ теряется.
куда копать?

PS. на DFL есть такой параметр - Security Association.
'per net', 'per host', 'per port'.
сейчас стоит 'per net'. я так понимаю - отдельный туннель поднимается для каждой пары сетей. что значит 'per port'?

Security Association (SA) это понятие начала фазы 1 поднятия IPsec, когда на основе SA подбирается тоннель для поднятия. Per net - указываются сети, которые будут соединены (самое "обычное" применение), per host и per port - скорее всего для шифрования коннектов в режиме инкапсуляции transport.

В вашем случае, надо указать на обоих IPsec все сети и проверить в точке 1 наличие роутинга до обоих удаленных сетей.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Запись в таблице маршрутизации есть. траффик в подсети DMZ и 2 заворачивается в туннель.

Как проверить что фактически происходит с пакетом?

у меня есть такая мысль - возможно ipsec до сети DMZ не поднимается, тк согласно установке Security Association 'per net' - должно согласоваться 4 SA - прямой/обратный траффик, сети 1/2 и прямой/обратный траффик, сети 1/DMZ... сейчас согласуются только 2 SA...

попробую ikesnoop.
ещё идеи есть?

Нашёл такую информацию...

Security Association
Per Host - If this is selected, a new tunnel will be created for every two hosts communicating through this VPN tunnel. All VPN tunnels are initiated by the firewall on a per-host basis. Inbound tunnels are only accepted if the remote network (the initiator's local network) is a single IP address.

Per Net - If this is selected, a VPN tunnel will be created between the two networks given in local net and remote net. All traffic sent between these networks will use the same tunnel.

Для выяснения "что происходит" самое простое - запустить ping -t и смотреть на всех девайсах Status-Connections.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Посмотрел ikesnoop
Итого, туннель 1-2 устанавливается, 1-DMZ не устанавливается.

ИСА в ответ на Proposal List вместо подтверждения отвечает:
Notification : No proposal chosen

При этом туннель 1-2 работает...

Пошёл копать в сторону ИСЫ

Проблема решена добавлением внешнего ip адреса ИСЫ в список удалённых сетей устройства DFL-210 (к 2ой сети и DMZ).

http://www.redline-software.com/rus/support/articles/isaserver/security/troubleshooting_ipsec_tunnel_mode_scenarios.php