У меня сеть постоенна таким образом:
Имеется головной офис (сеть 192.168.0.х) и несколько филиалов (каждая со своей сетью 192.168.1.х, 192.168.2.х и т.д.). На каждой точке установлены VPN-роутеры DI-804. Все филиалы подключены к головному офису.
Связь между офисом и филиалами работает нормально. Но вот филиалы друг друга видеть не могут.
Что нужно настроить, чтобы сеть нормально фунционировала в любое направление? Т.е. чтобы из сети 192.168.1.х попасть в сеть 192.168.2.х.
Настройка дополнительных VPN-содинений в роутерах (например 192.168.1.х с 192.168.2.х) исключается, т.к. филиалы имеют разных провайдеров и не могут всех пинговать.

Не пробовал статические маршруты прописать?

Через DI-804 это не заработает 100 %.

В центре надо ставить DFL-210. Поищите, тут были темы об этом.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Эта технология называется hub-and-spoke и она возможна только на серии DFL.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Я в этом не уверен. Сам не проверял. Но неоднократно встречал на этом форуме темы, где утверждалось, что с DFL в центре и DI-804 по концам для hub-and-spoke - это возможно.

Например, на стороне дочерних офисов указываете сети 192.168.1.0/24, 192.168.2.0/24 и т.д. В головном указываете сеть 192.168.0.0/20

Или сети 172.16.1.0/24, 172.16.2.0/24 и т.д. в дочерних. В головном - 172.16.0.0/20

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

По поводу объединения 2 VPN-сетей есть идея, но она такая забавная, идиотская и извращенская (но мы же русские *хе-хе*), соответственно, не факт, что будет работать. Для её реализации необходимо 2 DI-804 в головном.
1) Поставить каскадом 2 роутера DI-804 и пробросить нестандартный порт для подключения VPN на 2 роутер (не знаю получится ли на клиентах прописать конкретный порт подключения, нет возможности проверить нет)
2) соединить Lan порты у роутеров, включив DHCP только на одном, указать перекрёстные DNS у роутером (чтобы не получилось ничего плохого и раздача адресов шла с одного устройства + они могли обмениваться именами машин в сети)
3) настроить каждую отдельную подсеть на свой роутер (адрес:порт)
4) Как вариант ещё попробовать прописать статические маршруты при такой схеме, т.е. на какой шлюз слать пакеты для перенаправления в нужную сеть

В таком случае получается, что каждый роутер видит внутреннюю подсеть и нормально общается с VPN клиентами. А так же получается, что он может пересылать пакеты на другой роутер с которого запросы будут перенаправлять в другую VPN-сеть, т.к. машины по VPN будут по идее уже локальными для другого роутера

P.S. Ну вот, как-то так. Не знаю как на практике получится, если у кого-то есть возможность, то могут проверить. Потом отпишутся Если такое будет реально работать, то экономия по денькам будет точно.
P.P.S. А роутеры, которые в филиалах друг друга пингуют?

Чтобы hub-and-spoke на DI в филиалах работало, надо чтобы всю вашу VPN-сеть можно было объединить по маске.
Но лучше конечно DFL - надежность окупается отсутствием издержек и простоев.

"Пробросить порт" из идеи не получится - там не только TCP/UDP, но и GRE/ESP, которыу DI не умеет портмаппить. К тому же порты в РРТР/IPsec неизменяемые.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ну вот, ответ и дали По портам тоже сомнения были, но кто его знает