DFL-800, прошивка 2.26
Есть два белых адреса IP1 и IP2. Первый присвоен wan1, а второй на нем опубликован при помощи ARP.
Задача поднять GRE (используя IP2) через IPSEC (используя IP1).
В общем, с IPSEC проблем не возникло. Тунель поднял, маршрут прописал, правила указал:

IPSEC:
name - ipsec_tun
local network - IP2 (возможно именно здесь ошибка?)
remote network - rem_gre_gw (адрес удаленного gre)
remote endpoint - rem_ipsec_gw (адрес удаленного ipsec)

Route:
interface - ipsec_tun
network - rem_gre_gw

Rule 1:
action - allow
service - gre-encap
source interface - any (не знаю, что указать)
source network - IP2
destination interface - ipsec_tun
destination network - rem_gre_gw

Rule 2:
action - allow
service - gre-encap
source interface - ipsec_tun
source network - rem_gre_gw
destination interface - any (не знаю, что указать)
destination network - IP2

Теперь GRE:
name - gre_tun
ip address - 192.168.1.1
remote network - rem_net (адреса удаленной сети)
remote endpoint - rem_gre_gw
originator IP - manually specified: IP2

Route:
interface - gre_tun
network - rem_net

Rule:
action - allow
services - all_services
source interface - any (не знаю, что указать)
source network - 192.168.1.1
destination interface - gre_tun
destination network - rem_net


При попытках пинга rem_net в логах следующее:

2010-02-24 12:46:07
Warning
RULE 6000051
IfaceIPCollision
ICMP
gre_tun
192.168.1.1
192.168.2.1 (адрес из удаленной сети)
ruleset_drop_packet drop
ipdatalen=40 icmptype=ECHO_REQUEST echoid=57697 echoseq=4990

Заранее спасибо.

Весьма странная постановка. Почему одного IPSec недостаточно? Чего вы вообще хотите добиться?

У вас IP1 и IP2 из одной подсети. И c IP2 поднимать GRE через IPSec для меня немыслимо.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за ответ, однако, это вряд ли поможет решить мою проблему...
Это не моя прихоть, а требование удаленной стороны.
IP1 и IP2 из одной подсети.

Вы так и не сказали, чего вы хотите добиться. Опишите конечную конфигурацию, как вы ее видите. и почему именно так, а не иначе.

Если вы хотите, чтобы удаленная за IPSec сеть ходила в инет от имени IP2, то есть простой и естественный путь.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Нет, мне нужно именно то, что я описал.
Необходимо соединить 2 сети при помощи GRE тунеля. При этом с моей стороны эндпоинт должен иметь адрес IP2.
Затем необходимо, чтобы этот тунель шел через IPSEC тунель. При этом с моей стороны эндпоинт должен иметь адрес IP1.
Иными словами, при обращении из (в) удаленной сети пакеты должны инкапсулироваться в GRE, а весь этот трафик должен идти через IPSEC.
Еще раз повторюсь, что я не могу здесь что-либо изменить. Такая схема необходима удаленной стороне.

Я практически не могу себе представить схему, которую вы хотите построить. Можно сделать, то что вы хотите, но воспользоваться для построения GRE совсем другим диапазоном адресов, а адрес IP2 повесить на него с вашей стороны без особого смысла, что-то вроде вывески (указать в поле IP address:).

Укажите ваши IP1, IP2, маску подсети и шлюз. Адреса можете изменить, но так, чтобы это не исказило смысл.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за участие. Я не совсем понял, что Вы предлагаете, но давайте я еще раз попробую все описать.
Итак:
У меня есть:
подсеть 1.1.1.0/29
гейт 1.1.1.1
адрес 1.1.1.2 (закреплен за wan1) необходимо использовать для ipsec
адрес 1.1.1.3 (опубликован на wan1) необходимо использовать для gre.
Об удаленной стороне мне известно:
адрес 2.2.2.1 (на него нужно поднимать ipsec)
адрес 2.2.2.2 (на него нужно поднимать gre)
сеть 3.3.3.0/24 - удаленная сеть.

В принципе, минимум, который мне нужен - это все, приходящее из удаленной сети, маршрутизировать у себя (перенаправялть на внутренние серверы, пересылать дальше в другие сети/тунели).
Надеюсь, стало чуть понятнее.

Для этого достаточно поднять IPSec, что вы уже и так сделали.

Тот огород, что вы хотите городить с GRE поверх IPSec, может быть и возможен с вашими настройками. Но это будет нечто покруче садо-маза. А я не любитель этого.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо. Понимаете, если бы мне нужно было поднять IPSEC я бы ничего сюда и не написал бы. Но: