Доброго времени суток, есть два dfl-800 объедененные ipsec'ом.
Нужно пробросить порт с wan первого dfl по ipsec на lan второго dfl.
-> xx.xx.xx.xx:43521-> dfl1 -> ipsec -> dfl2 -> lan 192.168.0.10:80
Как я уже понял просто указать в sat адрес железки за ipsec недостаточно, подскажите как правильно реализовать такую схему.

Либо делать правила SAT-NAT/ Либо настроить PBR.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1) SAT+NAT - просто, но на 0.10 вы не будете видеть белых адресов подключений

2) PBR (правильно, но недостаточно)

(на обоих DFL) Interfaces > IPsec > ipsec
Установите
- local net - на dfl1
- remote net - на dfl2
в значение all-nets
На dfl2 снимите галку add route for remote network

(на dfl1) Rules > IP rules
SAT wan/all-nets core/wan_ip tcp-43521, SAT: new destination = 192.168.0.10, new port = 80\
Allow wan/all-nets core/wan_ip tcp-43521

(на dfl2) Routing > Routing tables > main
ipsec remote_net 100 (какая была метрика у вас)

(на dfl2) Routing > Routing tables
Добавьте таблицу alt_ipsec
Добавьте в нее маршрут ipsec all-nets 100

(на dfl2) Routing > Routing rules
ipsec/all-nets any/all-nets, forward: main, return alt_ipsec

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

сделал как написал danilovav, блокирует ...
2011-08-09 12:18:45 Warning RULE 6000051 Default_Rule TCP wan1 **.249.**.83 * *.109.**.56 1803 43521 ruleset_drop_packet drop ipdatalen=28 tcphdrlen=28 syn=1

если не сложно опишите как настроить SAT+NAT (не буду видеть белых адресов подключений - не критично)

SAT wan/all-nets core/wan_ip tcp-43521, SAT: new destination = 192.168.0.10, new port = 80\
NAT wan/all-nets core/wan_ip tcp-43521, NAT: new source = lan_ip

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

SAT+NAT, ругается:
Warning TCP_FLAG 3300019 TCPSequenceNumbers TCP wan1 wan1 **.249.**.83 * *.109.**.56 52924 43521 tcp_seqno_too_high drop seqno=868062293 accstart=4251762626 accend=4251762628 origsent=208 termsent=0 ipdatalen=32 tcphdrlen=32 syn=1

подскажите пожалуйста подробнее как sat+nat реализовать, так и не получилось ...

Делаете как обычный проброс портов. Только второе правило NAT вместо Allow. + изменение порта, если требуется.

Вы уже пробрасывали порты успешно?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

да пробрасывал, странно почему тогда не работает ...

значит, что-то где-то у вас не так.

Попробуйте этот порт прокинуть не через IPsec, а напрямую, т.е. на WAN второго DFL. Соблюдя те же условия - NAT и изменение порта.

между локальными сетями любой трафик разрешен в обе стороны?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

пересоздал правила и все получилось ...
спасибо за помощь !