Добрый день. Есть два устройства DFL-860.
DFL-1
lan-192.168.1.1
lannet-192.168.1.0/24
wan-статич.ip

DFL-2
lan-192.168.2.1
lannet-192.168.2.0/30
wan-статич.ip

За DFL-2 стоит ISA (одним интерфейсом смотрит в DFL-2, вторым в локальную сеть)за которой расположена сеть 192.168.30.0/24
Настроил IPSEC между DFL-1 и DFL-2. По аналогии : http://www.dlink.ru/ru/faq/92/850.html

Находясь в сети 192.168.30.0/24 (ISA=>DFL-2) я пингую машины из сети 192,168,1,0/24 (находящиеся за DFL-1).
Но находясь в сети 192.168.1.0/24 я НЕ пингую машины из сети 192,168,30,0/24 (находящиеся за DFL-1).

Что пытался сделать :
на DFL-1 прописывал
маршрут : <tunnel> <192.168.30.0/24>
правила : Allow tunnel all-nets lan all-nets all_services
Allow lan all-nets tunnel all-nets all_services

На ИСЕ для эксперимента - все разрешено.
Подскажите пожалуйста, что нужно сделать, чтобы пинги "ходили" в обе сети?

Может что на DFL-2 нужно подкрутить?

СПАСИБО.

Назовем

сеть 1: 192.168.1.0
сеть 2: 192.168.2.0
сеть 30: 192.168.30.0

а из сети 2 вы сеть 30 пингуете?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

- опишите подробно как вы настроили маршрут
- есть ли на DFL-2 аналогичный маршрут ?

Да из 2-ой сети 30-ую я пингую.

На DFL-2 прописал маршрут в 30-ю сеть...
lan,192.168.30.0/24,192.168.2.2
Где 192.168.2.2 - адрес ИСЫ. (адрес lan-интерфейса ДФЛ-2 192.168.2.1)
Но с DFL-2 30-ая сеть не пингуется. Скорее всего не правильно прописан маршрут в 30-ую сеть на ДФЛ-2. Прошу прощения за детский вопрос, но, может быть, подскажите как правильно его прописать?

Если подробно, то :
DFL-1
lan-192.168.31.1
lannet-192.168.31.0/24
wan1_ip - 192.168.1.2 (Подключен к АДСЛ модему (модем настроен как мост !))
wan1_net - 192.168.1.0/24

DFL-2
lan-192.168.2.1
lannet-192.168.2.0/30
wan-статич.ip

За DFL-2 стоит ISA (одним интерфейсом смотрит в DFL-2, вторым в локальную сеть)за которой расположена сеть 192.168.30.0/24

Настроил IPSEC между DFL-1 и DFL-2. По аналогии : http://www.dlink.ru/ru/faq/92/850.html

Единственное что изменил, так это при создании IPSec :
НА DFL-1

IPSec_remote_net - ip4 group
куда входят сети :
192.168.2.0/30 и 192,168,30,0/24
Соответственно на DFL-1, когда захожу в Routing>Routing tables>main> вижу туннель :
Route tunnel IPSec_remote_net 100<- это метрика

На DFL-2 :

Находясь в сети 192.168.30.0/24 (ISA=>DFL-2) я пингую машины из сети 192,168,1,0/24 (находящиеся за DFL-1).
Но находясь в сети 192.168.1.0/24 я НЕ пингую машины из сети 192,168,30,0/24 (находящиеся за DFL-1).[/code]
Если нужно что-нибудь еще предоставить - сообщите.
Буду рад любой помощи.
Спасибо.

- настройте маршрут(!) на дфл-1
- настройте правильно(!) маршрут на дфл-2

Уважаемый драгба скажите пожалуйста :

Где IPSec_remote_net - ip4 group
куда входят сети :

Разве это не является правильным маршрутом в сеть 192,168,30,0/24?


я его настроил :

где lan_net -192,168,30,0/24
ISA_ip - 192,168,2,2 - адрес исы, за которой сеть 192,168,30,0/24 - т.е. пакеты в сеть lan_net -192,168,30,0/24 пересылать на ISA_ip - 192,168,2,2

Спасибо!

нет
lan_net - неудачное название

На ДФЛ-1 добавил маршрут! Выглядит так :
TYPE Interface Network Metric
Route tunnel SLC_net 100
где SLC_net - 192.168.30.0/24



На ДВЛ-2 поменял название сети lan_net на SLC_net
Получилось :

Но я все равно с DFL-2 не пингую сеть 192,168,30,0/24
Поворюсь, что ИСА свободно пропускает пакеты в сеть 192,168,30,0

ГОСПОДА!!

Если на обоих железках : ДФЛ-1 и ДФЛ-2 прописать такой маршрут

То с ОБОИХ железяк дфл-1 и дфл-2 сетку 192,168,30,0/24 я пингую!!! НО, находясь в сети за дфл-1 с рабочих компьютеров сетку 192,168,30,0/24 я не пингую !! Хотя на этих рабочих компьютерах шлюзом по умолчанию является ДФЛ-1, с которого сетка 192,168,30,0/24 пингуется!!

Может будут еще соображения ?

Спасибо !

- шлюз ?
- метрика=0 у всех маршрутов

Я пробывал ставить метрику = 0 - это ничего не изменило.
Пробывал и шлюз дописать, вот так :
TYPE Interface Network Gateway Metric
Route tunnel SLC_net ISA_ip 0

тоже тишина

на дфл2 поставьте метрику=0

Искрене благодарю за желание помочь.
Но я так, тоже пробывал
А именно :

где lannet - 192.168.2.2 (смотрит в ИСУ (192,168,2,1) - иса все пропускает ... )
ISA_ip- ИСА 192,168,2,1
SLC_net - адрес сети за исой 192,168,30,0/24
В RULES - все правила, сначала деактвировал
НО с ДФЛ-2 сеть за исой я не пингую.

Пробывал в RULES/IP Rules добавить правило, думал, что фаер режет пакеты..


Но, все равно с ДФЛ-2 сеть за исой (192,168,30,0/24) я не пингую.

ОБНОВЛЕНО
ГОСПОДА !!! Решил пропинговать внутренний интерфейс ИСЫ, смотрящей в сеть - 192,168,30,10 и он пингуется. При этом машины, за исой (192,168,30,0) не пингуются, хотя на машинах внутри сети иса является шлюзом по умолчанию ...


Спасибо, надеюсь на помощь.

покажите "разрешающее всё" правило на исе

Значит, проблема в ISA

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.