Между двумя dfl-800 поднят vpn ipsec (между 10.202.1.0/24 и 10.202.7.0/24), но в сети 10.202.1.0/24, есть маршрутизатор 10.202.1.104 за ним находится сеть 10.205.2.0/24.
Можно ли организовать связь из 10.205.2.0/24 в 10.202.7.0/24 (к примеру 10.205.2.5 - 10.202.7.111) и как это сделать?

Можно. Добавьте в сети (группой) в Ipsec со стороны двух сетей вторую. Получится, что с одной стороны у вас будет 10.202.1.0/24 и 10.205.2.0/24, а с другой 10.202.7.0/24. Учтите это в правилах и маршрутизации, если вы ее делаете руками.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

На dfl-800 с 10.202.1.100 создал группу, в нее вошли сети 10.202.1.0/24 и 10.205.2.0/24, на нем же в интерфейсе ipsec в поле локальная сеть заменил 10.202.1.0/24 на созданную группу. В этом же dfl прописан маршрут
на dfl 10.202.7.100 прописан маршрут
на маршрутизаторе 10.202.1.104 шлюзом по умолчанию является 10.202.1.100, но пакеты из 10.202.7.0/24 в подсеть 10.205.2.0/24 так и не пошли.
Правильно ли я сделал?

Вы маршруты руками добавляете? В этом случае добавляйте его на вашу группу сетей. А лучше, если у вас нет мониторинга, вообще автоматически (из параметров ipsec).

И для маршрута на туннели шлюз не надо, уберите.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Маршруты в ipsec добавляются автоматически.
Убрал ненужный статический маршрут на 10.202.7.100.
На нем же добавил в ipsec в удаленную сеть в группу кроме 10.202.1.0/24 еще и 10.205.2.0/24.
Еще добавил в ip правила на обоих маршрутизаторах в группу сеть 10.205.2.0/24.

Все заработало, теперь из сети 10.205.2.0/24 в сеть 10.202.7.0/24 и обратно ходят пакеты.

Большое спасибо за помощь

А у меня ситуция довольно похожая, можно я в той же теме продолжу?

Те же 2 подсети, те же 2 DFL-800, между ними такой же ipsec-туннель.
Но! вместо роутера на адресе 10.202.1.104 стоит компьютер с программным NAT-шлюзом в инет.

Задача: сделать так, чтобы WAN-интерфейсы DFL-ек, подключенных к провайдерам, использовались только для установки туннеля и связи сетей между собой.

В сети 10.202.1.0/24 на клиентах дефолтным шлюзом объявлен именно 10.202.1.104, а на сеть 10.202.7.0/24 указана статик-дорожка через 10.202.1.100.
Туннель работает исправно, компы сетей друг-друга пингуют, видят.
Компы сети 10.202.1.0/24 через дефолтный шлюз 10.202.1.104 бегают в инет.

Но никаким образом не удается даже пинговать/трассировать ya.ru из сети 10.202.7.0/24, в том числе и непосредственно с DFL на адресе 10.202.7.100 (выход в инет через WAN закрыт на обоих DFL правилами, предполагается, что ВСЕ пакеты на обоих DFL должны бегать только через связку туннель-lan)

Можно ли вообще реализовать проброс из 10.202.7.0/24 через туннель ipsec дорожки до дефолтного шлюза 10.202.1.104 в сети 10.202.1.0/24?
Т.е. как позволить клиентам сети 10.202.7.0/24 использовать инет-шлюз размещенный за ipsec-туннелем?

И еще вопрос...

По ФАКу выставил TTLonLow=Log, ICMP от пинга/трассировки теперь пропускаются через DFL, но трассировка через ipsec-туннель выглядит так:
C:\>tracert 10.202.1.1

Трассировка маршрута к opp.trans.local [10.202.1.1]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 2 ms 2 ms 2 ms opp.trans.local [10.202.1.1]

Трассировка завершена.

Вопрос - как побороть?

Нарисуйте схему...

Для трассировки создайте правило allow lan/lannet core/all-nets all_icmp (кажется так).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В ФАКе еще про TTL Min сказано. Его и надо выставить в 1.

viewtopic.php?t=47542

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Выставил TTLMin=1

Но помогло не это, а явное создание правила как предложил danilovav, только я его немного изменил и сделал их 2:
1. Allow lan/Full_Safety_Net any/Full_Safety_Net ping-outbound
2. Allow IPSec_tunnel/Full_Safety_Net any/Full_Safety_Net ping-outbound

Здесь Full_Safety_Net - группа из сетей (lannet + ipsec_Remote_Net).
Симметрично прописал эти 2 правила в обоих DFL.

Теперь трассировка заработала в обе сторон, сенк.
Но появилось сомнение - правильно ли сделал? Не открыл ли лишних путей для трассировки?
По замыслу трассировка должна по этим правилам разрешаться только между 2-мя подсетями с 2-х сторон ipsec-туннеля...

Ха! Если это не помогло , вы верните прежнее значение TTLMin=3

Не припоминаю чтобы danilovav упоминал о ping-outbound. Я не борюсь за чужие лавры, просто предпочитаю факты.

Используя интерфейс any вы всегда открываете лишние пути, несколько увеличиваете нагрузку на устройстро и создаёте возможность ошибок в конфигурации. Поэтому я никогда его не использую.

Сделайте правила
1. Allow lan/lannet IPSec_tunnel/ipsec_Remote_Net ping-outbound
2. Allow IPSec_tunnel/ipsec_Remote_Net lan/lannet ping-outbound
В своей ссылке я это указал достаточно явно:

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Писал в запаре, YuriAM прав

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

YuriAM
Прошу простить - вовсе не собирался сравнивать полезность Вашего совета и совета danilovav. Просто очень торопился при тестировани и пытался тут же писать результаты - тон письма вовсе не соответствует моим намерениям. Сожалею, если обидел. Чесслово - не хотел.

Насчет ping-outbound я прочел в описании сервисов - судя по Вашему примеру, вывод был правильным

Большое спасибо за правильный вариант для трассировки!
(а ссылку я, дурак, проигнорировал - в предыдущей-то строке про ФАК говорилось, вот и подумал не вглядываясь, что Вы меня к ФАКу отсылаете).
ФАК я внимательно читал и про TTLMin=1 тоже, и экспериментировал с ним, но, видимо, без корректных правил, почему и решил что с ipsec и/или новой прошивкой это не работает...


Еще раз спасибо.

А насчет основного вопроса (мой первый пост выше в теме) - про использование общего NAT-шлюза сетью, сидящей за ipsec-туннелем - посоветоветуйте, пожалуйста!

А вы схему то нарисуйте...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вот схема...