Имеется куча DFL-260 и один DFL-860
Между центральным DFL-260 и филиальными настроен IPSec LAN to LAN.
Центральный DFL-260 подключен к центральному DFL-860.
DFL-860 подключен к двум каналам Интернета.
Схематично все нарисовал.
Количество DFL-260 больше, чем на картинке, ПК и серверов тоже больше.



Задача.
Нужно настроить оборудование так, чтобы сервера и ПК из сетей 192.168.10.0- 192.168.13.0 видели друг друга (посути получилась одна большая сеть).
И что бы все оборудование могло ходить в Интернет, например, google.com, mail.ru.
Мое решение.
На каждом филиальном DFL-260 настроил IPSec LAN to LAN до центральным DFL-260.
Филиальные сервера видят центральные и наоборот.
На DFL-860 настроены два PPPoE соединения в Интернет.
DFL-860 является шлюзом для центральной сети.
Что пока не могу решить.
Как настроить маршрутизацию между двумя серверами из филиалов? Например, что бы из сервера 192.168.11.1 можно было зайти на 192.168.12.1.
Чисто теоретически при создании нескольких IPSec должны создастся маршруты. Я пока настраиваю меньшее количество. Будет ли само работать?
Вторая проблема.
Если сервер 192.168.11.1 обращается в Интернет, то нужно связать его с центральным DFL-860.
Я указал его шлюзом на LAN интерфейсе центрального DFL-260.
Но не работает. Нужно писать маршрут.
Требуется помощь знатоков.
Может есть альтернативное решение моей задачи?

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

Не вижу ничего сложного. Вам достаточно на центральном DFL-860 (192.168.10.1) указать, что для подсетей 192.168.11.0-192.168.13.0 шлюзом должен быть 192.168.10.2. Дальше, если прописаны все туннели и правила, все должно работать.

В случае с IPsec не надо указывать шлюз.

Тут немного по другому. В параметрах туннелей со стороны 10.2 надо указать all-nets и разрешить трафик меджу IPsec (allow) и в сторону 10.1 (NAT или allow, в последнем случае 10.1 должен знать что IPsec-сети находятся за 10.2).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

И я про это же сказал

Попробуй - отпишу.

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

Нифига толком не получается.
По одному устройства работают как нужно.
Но когда начинаю докидывать другие сети - все.
Начнем с малого.
Как на DFL-860 (192.168.10.1) нужно указывать что для подсетей 192.168.11.0-192.168.13.0 шлюзом должен быть 192.168.10.2?
Хочу с DFL-260 (192.168.10.2) пинговать сервера в Интернете.
Настроил на интерфейсе LAN шлюз в Интернет (192.168.10.1).
Но и на WAN у меня есть шлюз в другую подсеть.
Когда запускаю пинг 8.8.8.8 то его нет.
Удаляю шлюз из WAN и пинг появляется.
Я понимаю нужно понизить метрику LAN до 90?

По поводу шлюза WAN.
На WAN отдельная, мной не управляемая, сеть 192.168.21.4 с маской 255.255.255.248 и шлюзом 192.168.21.4.
Получается мне выделено (2 в кубе минус 1) семь адресов.
У остальных DFL-260 аналогичная ситуация - у них выделенный не пересекающийся диапазон.
У каждого DFL-260 свой шлюз.
Шлюз сам маршрутизирует пакеты между маленькими подсетями.

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

Как это может быть сеть 192.168.21.4 с маской 255.255.255.248? Если вы нарежете диапазон 0-255 интервалами по 8, откуда тогда границы сети будут начинаться, как вы думаете? Так что если маска у вас правильная, то сеть ваша 192.168.21.1 - 192.168.21.7. И то адрес 192.168.21.7 занимать нельзя, это бродкаст адрес. Поэтому вам доступны адреса с 1 до 6 (за исключением адреса шлюза).

Легко.
Настройки устройств в сети
192.168.21.1 шлюз
192.168.21.2 255.255.255.248 192.168.21.1
192.168.21.3 255.255.255.248 192.168.21.1
192.168.21.4 255.255.255.248 192.168.21.1
192.168.21.5 255.255.255.248 192.168.21.1
192.168.21.6 255.255.255.248 192.168.21.1
И все работает.
У DFL-260 в офисе настройки 192.168.21.004 255.255.255.248 192.168.21.001
У DFL-260 в другом филиале 192.168.21.067 255.255.255.248 192.168.21.065
И связь между двумя этими устройствами есть.

Мои вопросы в силе.

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

В таблицу маршрутизации на DFL-860 (192.168.10.1) надо добавить маршрут на сети 192.168.11.0-19.168.13.0 с шлюзом 192.168.10.2. Или 3 маршрута, если сети не хотите объединять.

Про ваше предыдущее сообщение - все правильно сконфигурировано. Ну так и формулируйте правильно - что сеть 192.168.21.0/29, адрес и шлюз такие-то...

Попробую с машрутами на DFL-860.
Проблема недопонимания - самая большая проблема.
Поэтому стараюсь писать как можно подробнее и с картинками.
Как настроить офисный DFL-260?

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

Пока ничего там не меняйте. Если не заработает с маршрутами на DFL-860, будем дальше разбираться.

У меня пока настроена связь с центральным DFL-260 и одним филиальным DFL-260.

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

Подскажите как именно настроить маршрут на центральный DFL-860, что бы он знал, что для филиалов используется шлюз 192.168.10.2?

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

lan (интерфейс куда включен 10.2) 192.168.11.0/24 (сеть филиала) 192.168.10.2 (шлюз) 100 (метрика аналогичная lannet)
Ну и разрешающие правила для трафика

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А поле Local IP address оставить пустым?

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860