нет

со стороны dfl-1 указыватет all-nets
со стороны dfl-2 указыватет net-2

и права

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

не работает

показывайте скриншоты настроек IPSEC и IRules с обоих DFL.

1-й DFL:
Настройки ipsec
локальная сеть - lannet
удаленная сеть - all-nets
Удаленная точка - fwA (ip адрес 2-го DFL)
Режим инкапсуляции - Tunnel



Правила
Allow - lan -lannet - ipsec - fwAremotenet - all service
Allow - ipsec - fwAremotenetl - lan -lannet- all service
Allow - ipsec - fwAremotenet - wan - all-nets - all service

2-й DFL
Настройки ipsec
локальная сеть - lannet
удаленная сеть - fwB-remotenet
Удаленная точка - fwB (ip адрес 1-го DFL)
Режим инкапсуляции - Tunnel

Правила
Allow - lan -lannet - ipsec - fwBremotenet - all service
Allow - ipsec - fwBremotenetl - lan -lannet- all service

у вас на обоих DFL тунель в all-net, а правила тока для fwAremotenet. (т.е fwAremotenet смените на all-net).
покажите ещё таблицу маршрутазции.

p/s тунель сам установился или нет ?

Туннель в all-nets тока на первом...Таблицу маршрутизации с какого DFL?

Туннель устанавливается

ну да, правило для all-net для тунеля тока на 1м дфл измените.

Роутинг с обоих покажите.

Т.е. в правилах на первом DFL вместо fwAremotenet ставлю all-net?

Правила
Allow - lan -lannet - ipsec - all-net - all service
Allow - ipsec - all-net - lan -lannet- all service
Allow - ipsec - all-net- wan - all-nets - all service

Так?

- маршрутизация на первом DFL
- маршрутизация на втором DFL

у вас интернет есть в какой сети ? 192.168.1.0/24 или в 192.168.2.0/24 ?

Интернет в сети 192.168.1.0/24

тогда вы всё перепутали с настройками.
Вам надо из сети где нет интернета (2.0), в настройках ipsec на remote_net указывать all-net (т.е чтобы в тунель заворачивались пакеты для интернета тоже).
соответственно в сети 1.0 где есть инет, в настройках ipsec в поле remote_net тока удаленная сеть 2.0.
Правила для Тунелей тоже переделывайте.

Как только установите тунель, отписывайтесь, и показывайте роутинг там у вас тоже непонятные записи откуда то (допустим на 2.1 дфл - первый маршрут ваще ересь какая то =).

2-й DFL
- настройки ipsec
- правила
- маршрутизация

1-й DFL

- настройки ipsec


Так получается?

Проверить могу тока завтра(((((

вроде похоже на правду.
Iprules не забудьте.

на дфл 192.168.1.1 в настройках ipsec local_net поставьте all-net тоже.
Iprules правило для выхода в интернет из Ipsec тунеля должно быть NAT.

не работает((((

на второй dfl (192.168.2.0/24): При обращении к сайту в журнале - conn_open потом через некоторое время conn_close

На первой dfl (192.168.1.0/24):

2011-02-16
12:27:39 Информация IPSEC
1800317

peer_is_dead
IPsec_tunnel_disabled
peer=46.x.x.x
2011-02-16
12:27:39 Информация IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x981eb8a0, AH=0xa280cdeb Responder SPI "
2011-02-16
12:27:39 Предупреждение IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="Timeout" local_peer="127.0.0.1 ID No Id" remote_peer="46.x.x.x ID No Id" initiator_spi="ESP=0x981eb8a0, AH=0xa280cdeb"
2011-02-16
12:27:39 Предупреждение IPSEC
1802715


event_on_ike_sa
side=Initiator msg="failed" int_severity=6