Итак, вводные.
Роутер на FreeBSD (PfSense1.2.2). В нем:
на LAN (192.168.1.62/26) сидит подсеть 192.168.1.0/26
WAN - провайдер1, через него ЛАНовцы ходят в инет
OPT1(192.168.2.1/30) <-> модем(192.168.2.2/30) - провайдер2, через него будет сделан туннель в удаленный офис, так же избранные ЛАНовцы ходят в инет.
Сейчас имеем полностью рабочую сеть, все ходят в инет по правильным каналам, из внешки НАТятся порты на серверы в локалке...

ТЗ: присоединить к этому офису дополнительный в другом городе - 192.168.1.64/26. У них аплинк в инет только один - провайдер2, так что дополнительных маршрутизаторов нет.

Под это дело были приобретены пара DI-804HV. Теперь, думаю, схема будет выглядеть так же, с одним дополнением:
OPT1(192.168.2.1/30) <-> DI-804(192.168.2.2/30) <-> модем(bridge)
На фре добавить маршруты: в 1.64/26 через OPT1 и гейт 192.168.2.2, из OPT1 в 1.0/26 через LAN.

Вопрос - что сделать в DI-804, в ЛАН порт которого будет воткнут OPT1 интерфейс фри? Нужно указать маршруты, что из VPN туннеля гнать весь траф в гейт 192.168.2.1, а из 2.1 - в туннель, насколько я понимаю. Как это организовать?..

PS: Во фре есть возможность поднять IPSec, но я не уверен в совместимости PfSense с DI-804 в этом плане...

У меня большие сомнения в том, что DI сможет переварить дополнительную сеть со стороны LAN. DFL точно сможет, но у вас его нет. Поэтому пробуйте туннель между фрей и DI, должно получиться.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Уже попробовал. Модем оставил в режиме роутинга с пробросом 500порта tcp/udp, туннель поднял между PfSense и DI804HV. Ввел минимум настроек - подсети, шлюзы, preshared key и proposal'ы. На обоих концах agressive. На столе все работает, насколько стабильно пока не знаю - нужно наблюдать. На следующей неделе будем проверять в полевых условиях.

Модем лучше бриджом, чем меньше NAT при IPsec, тем лучше.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

PfSense этой версии пока не умеет поднимать pppoe соединение с провайдером по OPT WAN интерфейсам, а ставить бету в рабочий роутер я не буду. Так что - пока так. Когда сдам работу начальству как "все готово! пользуйтесь!" - тогда не спеша переделаю интерфейсы наоборот, чтобы ходили в инет через OPT1, а туннель работал на WAN. Как-никак, а сегодня же ПЯТНИЦА И трогать что-либо ну таааак не хочется