Добрый день!

Помогите решить задачу.

Между роутером на FREEBSD и dmz портом DFL-210 поднят туннель, DFL-210 wan портом подключен к маршрутизатору который смотрит в intranet (все адреса intranet–а белые, NAT не нужен).
пакеты от сети ххх.ххх.ххх.ххх. за FREEBSD проходят только до сети wan_net, дальше не маршрутизируются.
Какие параметры маршрутизаци на DFL-210 необходимо настроить, чтоб пакеты c сети ххх.ххх.ххх.ххх проходили через туннель в intranet, при условии, что маршрутизация на FREEBSD настроена правильно и маршрутизаторы intranet-a знают где искать сеть ххх.ххх.ххх.ххх

Заранее спасибо!

Ничего не понятно. Нарисуйте схему...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

http://narod.ru/disk/22030277000/sh1.JPG.html

необходимо, что бы пакеты с сети 10.128.130.0.24 маршрутизировались за cisco...в настоящий момент они доходят только до сети 10.128.128.0/24

А за 2811 сеть (сети) с какой адресацией? Думаю, в параметрах IPsec со стороны DFL надо их указать + сделать маршрут до интранета на 2811 + правила вида Allow tunnel/remote_net lan/all-nets

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Правило такое есть, на 2811 все прописано, и что означает в параметрах IPSec надо прописать сети, если можно приведите пример для сети 10.128.140.0/24 которая находится за 2811.

Я ради эксперемента создавал сеть 10.128.130.0/24 на DMZ порту DFL-210( DMZ_IP 10.128.130.118; DMZ_NET 10.128.130.0/24) - все прекрасно работает, пакеты в интранет проходят, т.е. маршрутизация в интранет с DFL-210 есть. Теперь главное, что б пакеты для сети 10.128.130.0/24 передавать через туннель.

Сразу оговорюсь, что ранее вместо DFL-210 стоял "VPN роутер на FreeBSD" и все работало.

У вас в IPsec есть параметры local и remote network. Для DFL это должна быть группа из той сети, что уже есть и той, что уже есть (10.128.128.0/24) и той, что за 2811 (10.128.140.0/24). Как вариант, вместо группы вы вообще можете указать более широкую сеть 10.128.0.0/16, но тогда будьте внимательны с автороутингом на DFL - его придется отключить и маршруты прописывать руками.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо большое, начало положено первый вариант получился, только группу необходимо еще и на FreeBSD прописывать, пинги проходят, а вот фтп на чтении каталогов зависает, может правило для фтп отдельное создать?? и еще одно неудобство - уж очень большой интранет очень много сетей придется прописывать.....второй вариант не очень годится т.к. интранет 10.0.0.0/8 т.е. включает в себя и сеть за тунелем получается 254 подсети 10.0-255.0.0/16...Попробовал вместо фряхи DIR-130 тоже получилось, но проблема с ФТП с сетями за 2811 осталась

да. для сервиса ftp-passthrough выше all-services

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Если на 210м работает NAT, то правило с ftp-passthrought надо обязательно. Если нет, то проверяйте обратную видимость.

А по поводу какие сети указывать в туннеле, вы можете хоть all-nets со стороны 210го указать (если ваша фряха это переварит), а маршруты на туннель уже делать руками.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Всем большое спасибо, проблемные моменты решены, если кому интересно - проблему с FTP решил добавлением правила all_tcpudp выше all_services

Такого не может быть. all-services полностью покрывает all_tcpudp.

Какая у вас прошивка?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Как то так, но заработало, у меня вот новая проблемка, но уже не по туннелю, нужно подключить объект согласно схемы

http://narod.ru/disk/22087064000/sh-2.jpg.html

ни как не могу победить маршрутизацию, не проходят пакеты от DFL-210 до сети 192.110.120.0/24 через DMZ порт...делал согласно рекомендаций
http://forum.dlink.ru/viewtopic.php?t=124366&highlight=DFL-210

потом и wan интерфейс отключил, оставил только dmz и lan, dmz_gw как положено шлюз по умолчанию, и все равно тихо, перенастраиваю сеть 192.110.110.0/24 на wan интерфейс - работает