Здравствуйте.

Есть dfl-200 и dfl-800, между ними канал между Lan1(dfl200) и Lan2(dfl800).
Есть TMG и интерфейсами Lan2 и Lan3.
На TMG настроено маршрутизировать весть трафик из Lan3 в Lan2.

Мне нужно чтоб трафик маршрутизировался через TMG из Lan3 в Lan2, а потом, через IPsec попадал в Lan1.

Не работает...

Настройки:
На dfl800 маршруты кидать Lan3 и Lan2 в канал dfl-200, разрешен трафик Lan3 и Lan2 в канал dfl-200.

На dfl200 маршруты кидать Lan2 в канал dfl-200 и Lan3 в физ. Lan.

Пингуя из сети Lan3, что-нибудь из сети Lan1, dfl800 в логах пишет, что порт открывается.... и потом закрывается... пинг при этом не проходит...

Пингуя из сети Lan2, что-нибудь из сети Lan1 - все работает...

спасибо.

Нарисуйте схему

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вот как то так... нужно чтоб Comp2 видел Comp1

Вам в параметрах IPsec надо указать, что на стороне DFL-800 находятся 2 сети - lan2 и lan3. Тогда трафик из lan1 пойдет до lan3 через TMG.

В DFL-800 это можно сделать группой, но не факт что получится на DFL-200 - возможно придется делать по маске.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Все заработало, спасибо.

На dlf800 в Ipsec указал местные LAN группой, на dfl200 - удаленные LAN через запятую. Поднялся канал с маршрутизацией из 2 сетей в 1.

Так же на на dfl800 добавил маршрут из LAN3 через физ. LAN.

Да, разрешая трафик на dfl800, пришлось делать 4 правила по 2 для каждой сети - правила на группу сетей не работают...

Ещё раз спасибо!

А между DI 808 и dlf800 нет возможности в одном ipsec покинуть 2 сети?

И ещё вопрос... нужно из LAN, весь трафик заворачивать в IPsec...
Например, поменять маршрут на WAN с 0.0.0.0 на адрес 2 маршрутизатора, и добавить маршрут 0.0.0.0 в Ipsec...

Будет такая схема работать на di808 dfl200 и dfl800 ?

DFL-800 умеет пропускать дефолтный маршрут через IPsec, смогут ли 200/804 - не уверен.

По двум сетям - попробуйте через запятую, в каких-то случаях получалось, но скорее всего только по маске.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

на di 808 там где ip адрес вбивается в настройках ipsec, ограничение на 15 символов.... наверно нет тогда...

Возможно поднять 2 ipsec между одним и тем же оборудованием, с разными подсетями? Или, например от двух разные внешних WAN на dfl800 до одной di 808 ?

Два IPsec по одному адресу - нет. Но в случае с DFL-800 и двумя девайсами, то это возможно, однако в удаленной сети придется делать дополнительную маршрутизацию. В конечном итоге, DFL-210 не будет ли проще?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Готов поменять 6 di 808 на 6 dfl 210

Спасибо за помощь

Ещё такой вопрос, т.к. у меня не вышло...


Возможно на DFL-800 использовать 2 WAN интерфейса от одного провайдера?, т.е. у интерфейсов будут одинаковые маски и шлюзы, и ип адреса разные.

И сразу второй вопрос, если это возможно, можно ли будет поднять 2 ipsec c одной 808 до dfl 800, соответственно на 1 wan и на 2 wan ?

Использовать одного провайдера можно.

Два IPsec поднять с DI нельзя, в принципе и с DFL тоже нельзя (т.к. со стороны 2х WAN с двумя SA будет ассоциирован одинаковый адрес удаленного девайса с одним WAN).

Как вариант - попробуйте объединить сети по маске, чтобы у вас все "помещалось" в один туннель.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

спасибо