Доброго всем вечера.

Вопрос такой. Есть вот такая схема
http://s41.radikal.ru/i091/1003/fe/c9da00eacd70.jpg
Соединение между ОФИС1 и СЕРВЕР - РАБОТАЕТ НОРМАЛЬНО
все бегает и шуршит

Нужно подключить ОФИС2 к ОФИС1 по VPN IPSEC и завернуть туда доступ к СЕРВЕРу и Доступ к интернету который в ОФИСе1

Делаю тунель - поднимается

вопрос. какие нужно правила(где NAT а где Allow) и роутинги для работы такой схемы.
Все что я пробовал ни к чему не превело. нет ни Инета ни Сервера.

Спасибо.

Между офисами, со стороны офиса №1, укажите all-nets в параметрах IPsec

В офисе №2 сделайте дефолтный роутинг на IPsec (не забудьте, возможно вам понадобится прописать специальный маршрут(ы) чтобы сам IPsec поднимался)

В офисе №1 сделайте правила
Allow ipsec/remote_net lan/server all_services
NAT ipsec/remote_net wan/all-nets all_services

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вот мои параметры
ОФИС1




Офис2




для начала сделал чтобы заходил на сервер.

НО НИЧЕГО НЕ РАБОТАЕТ
Делаю ПИНГ на адрес сервера. в офисе2 в списке соединений есть соединение
PING ICMP lan: 192.168.2.101:1 - IPSEC_to_Office1: 192.168.100.NNN:1

а в офисе1 в соединениях ничего нет. в логах тоже молчание.

Буду благодарен за помощь. Спасибо

срочно помощь нужно... завтра нужно чтоб работало.
Слезно прошу помочь.

В первую очередь, в логах офиса №1 ничего нет потому что пакеты не проходят через туннель - туннель не знает ваших сетей
Я же вам написал все, теперь повторюсь в ваших терминах


На стороне офиса №1

IPsec_to_Office2
Local network = all-nets

В правилах, если вам нужна полная видимость, будет проще сделать группу интерфейсов local = lan + IPsec_to_Office2 + IPsec_to_Server и заменить ваши правила одним
Allow local/all-nets local/all-nets all_services

Коли вам надо заворачивать интернет для офиса №2, добавьте правило
NAT IPsec_to_Office2/Office2_net wan/all-nets all_services


На стороне офиса №2

IPsec_to_Office1
Remote network = all-nets
Сделайте метрику 100 для маршрута

Отключите дефолтный маршрут на all-nets для wan (снимите галку Automatically add a default route for this interface using the given default gateway в парарметрах интерфейса)

Правила упростите аналогично офису №1 - добавьте группу local = lan + IPsec_to_Office1 и замените все allow правила, связанные с ними на одно
Allow local/all-nets local/all-nets all_services

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

ОГРОМНОЕ спасибо.

Разобрался наконец. все работает.
Одна пометка. нужно было еще поднастроить туннель между ОФИС1 и DFL SERVER`a.Но все сделал и все летает...

Позже напишу что поднастроил, как говорится для будущих поколений.

И вообще может сделать ветку с описание сложных случаев таких как 5 офисов, один центр а в инет через 3 офис выходить надо и чтоб все другдруга видели... ну или что то в этом духе:-)))С описанием что куда нужно прописовать и ПОЧЕМУ, ведь это самое главное для понимания процесса, Надо чтобы народ грамотнее становился, а не так что от балды.

Короче отпишу ликбез позже.

Тут многие решения из раздела шаманства т.к. иногда бывает сложно осмыслить, как это работает.

Однако над таким ресурсом работы ведутся

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc