Добрый вечер!
Прошу опытных товарищей прояснить: есть ли возможность как-то передавать интернет траффик через ipsec туннель, организованный внутри сети за фаерволом.
Поясню: есть 3 DFL
1. DFL 860 (через него в интернет)
WAN внешний IP
DMZ 172.16.0.3/16
2. DFL 2500 (за ним локальная сеть)
LAN 10.10.0.1/16
DMZ 172.16.0.1/16
LAN2 10.30.0.1/16
3.DFL 1600 (за ним другая локальная сеть)
LAN2 10.30.0.2/16
LAN3 10.31.0.1/24
В интернет сети LAN и DMZ роутятся через внешний файрвол DFL860.
Между интерфейсами LAN2 DFL2500 и LAN2 DFL1600 туннель ipsec. Все что нужно от LAN3 ходит в сети
LAN и DMZ и обратно. НЕ получается зарулить интернет траффик от LAN3 через туннель и далее маршрутизировать его через DMZ на внешний файрвол DFL860. IPsec туннелирует только адресованное в те сети, которые описаны как удаленные сети.
Т.е. как можно используя указанное оборудование разрешить передачу через Ipsec туннель не только
в LAN и DMZ, но и интернет.
Спасибо.

Да, есть такая возможность.
В общих чертах:
При настройке IPSec-тунеля в качестве удалённой сети указать all-nets.
На удалённом устройстве, с которого предполагается брать интернет, разрешить доступ из IPSec-тунеля в интернет.

хмм..
в том то и дело, что если в "удаленной сети" ставлю all-nets туннель вообще не поднимается.
Пропадает доступ и в другие сети, в которые траффик до этого туннелировался.
А правила и маршруты на внешнем DFL 860 обратно в сети за туннелем конечно прописаны.
???

Статический маршрут до remote endpoint через ваше интернет-подключение сделайте

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

На внешнем роутере есть маршрут до сетей, которые за IPsec туннелем через DMZ интерфейс, гейтвей
172.16.0.1 (на DMZ интерфейсе основного DFL 2500).
На DFL 2500 есть маршрут до сетей за IPsec через интерфейс туннеля.

На 1600 DFL (т.е. на том с которого весть траффик должен уходить через туннель) при запросе из локальной сети http наружу вижу в логах открытые сессии запросов DNS (DNS находится в сети LAN за DFL 2500) и открытые сессии по порту 80 на эти запросы. А на выходу туннеля (т.е. на DFL2500) вижу только эти же запросы DNS в локальную сеть, но нет по 80 порту. Т.е. правила заворачивающие в туннель срабатывают, но
не туннелируется это траффик.

Нарисуйте схему включений и адресации..

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

На удалённом устройстве в настройке IPSec в качестве Local Network тоже укажите all-nets

Обязательно учитывайте метрику маршрутов - иначе, как у вас и получилось, перекрываются маршруты и вообще весь трафик направляется в тунель. Скорее всего вам ещё потребуется настроить PBR.

Схема такая:

..метрика учитывается.
Весь трафик со стороны LAN3 10.31.0.0/24 и должен идти в туннель.
Идет и доходит только траффик в сети LAN 10.10.0.0/16 и DMZ 172.16.0.0/16, которые прописаны в туннеле
как удаленные сети.
Хотя есть правила, разрешающие траффик к all-nets через туннель и прописан маршрут
0.0.0.0/0 интерфейс туннеля 172.16.0.3(gateway)
Если поставить в "удаленные сети" ALL-nets, то туннель вообще не поднимается, и пинги не ходят в сети
LAN и DMZ.
Вообще при данной схеме это возможно? пустить через туннель траффик к 0.0.0.0 далее после туннеля
маршрутизировать его через DMZ на внешний марш и далее в интернет.

Remote net = all-nets надо выставлять только на 10.30.0.2 (назовем его №3)
Между 10.30.0.1 (№2) и 10.30.0.2 (№3) как я понимаю не интернет, а L2-сегмент?
Покажите Status > Routes c DFL №3 на момент не установки туннеля
Чтобы интернет был в сети за DFL №3, на 172.16.0.3 (№1) надо прописать маршрут dmz1 10.31.0.0/24 172.16.0.1

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

так и есть.
на туннеле со стороны 10.30.0.1 remote net = группа сетей за 10.30.0.2

да


Чтобы интернет был в сети за DFL №3, на 172.16.0.3 (№1) надо прописать маршрут dmz1 10.31.0.0/24 172.16.0.1[/quote]

tunnel_fw_k10_networks - группа сетей за 10.31.0.2

Действительно Local Network можно не указывать all-nets, но интернета вам тогда не видать. IPSec не устанавливается, пока вы не попытаетесь пропустить через него трафик, либо пока не подождёте несколько минут. Если промежуточный DFL используется просто как шлюз - на нём необходимо прописать разрешающие правила причём либо с действием NAT, либо с Allow, но при этом ещё настраивать маршрутизацию на DFL с интернетом. (На DFL с интернетом разрешающие правила обязательно с действием NAT!)
Если не работает выложите скриншоты с таблицами маршрутизации всех трёх DFL(Status->Routes) и их разрешающими правилами.


P.S. Не стоит особо пытаться всё завернуть в IPSec, я бы порекомендовал добавить дополнительный тунель, например, L2TP и через него пропустить интернет.
Теоретически работает быстрее и меньше загружает процессор.

Наверное Remote Network..
не устанавливается и спустя нес колько минут, пинги не идут. Хотя если указывать в ремоте нетворк существующие сети,
то туннель в статусе устанавливается сразу при первом же пинге.

все так и есть на шлюзе DFL2500 правила allow. на внешнем DFL860 - натится.
2500 (на который строится туннель)

1600 (с которого строится туннель)

860 (внешний)

Выкладываю таблицы маршрутизации (зачеркнуты маршруты ненужные, чтобы не мешали)
1600


2500


860 (внешний)