Здравствуйте. Есть IPSEC туннель Tunnel1, необходимо настроить второй туннель Tunnel2 для конкретного списка ip адресов (см. схему).
Схема:


Задача усложняется тем, что на DFL-800_3 стоит маршрут, перенаправляющий пакеты на веб сервер Server1 (см. скриншот маршрутов).

Маршруты:

Пробовал настраивать туннель по инструкциям, вместо подсетей, указывая группы ip адресов, но пакеты на DFL-800_3 с DMZ пересылаются на Server1. При добавлении маршрута с DMZ на нужную группу адресов с бОльшим приоритетом - теряется связь с DFL-ем (по внешнему ip на WAN1).

Вопрос: Как настроить Tunnel_2 ?
Прошу все объяснить подробно, т.к. я в этой области новичок и изначальную настройку производил не Я. Спасибо.

"Маршрут на сервер" выглядит непонятно. У вас там по несколько адресов на DFL-800_3 ?

Также не совсем понятна задача. Вам надо сделать дополнительный туннель в ту же сеть, чтобы разгрузить имеющийся или как?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В смысле по несколько адресов? На DFL800_3 висит 3 интернета со статическими ip.
На Wan 1 настроен туннель на DFL800_1. Задачу вы поняли правильно - надо настроить туннель с DMZ DFL800_3 на DFL800_2 для отдельного списка адресов (устройства VoIP), при условии, что DFL800_1 и DFL800_2 находятся в одной подсети, для разгрузки канала на Wan1 и улучшения качества связи через VoIP.

В вашей схеме придется делать статические маршруты (т.к. DFL#2 будет не дефолт гейтвеем), что скорее всего загубит VoIP накорню. Коли у вас все статическое, вместо девайсов 1 и 2 используйте один с двумя каналами, а не нем уже роутингом (PBR) разведите все как надо.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за ответы. Проблему решил следующим образом:
1) На войпе в подсети 0.0/24 поставил гейтвеем DFL_2
2) Настроил на DFL_2 и DFL_3 туннель с наивысшим приоритетом, вместо подсетей указав IP адреса войпов.
3) Переадресацию на Server1 настроил, испльзовав отдельную таблицу маршрутизации и правило для нее + SAT на сервер из внешки в IP правилах.

Использовать вместо 2-х девайсов один нет возможности, т.к. на рисунке изображена не полная схема сети и на DFL-лях все остальные порты заняты.

P.S. Долго не мог поднять туннель - он то не устанавливался, выдавая алгоритм шифрования (unknown), то падал, после чего не поднимался. Оказалось - это из-за того что на модеме, подключенном к DFL_2 не был настроен DMZ (там надо прописать ip адрес WAN интерфейса).

Если не боитесь излишней статичности конфигурации, то да, вариант хороший.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc