Возможно ли постоение VPN любым различным образом, что бы все компьютеры стоящие за этими железками были в одной сети?
Например 192.168.1.1/24. Типа 192.168.1.2-100 стоят за dfl-860e, а 192.168.1.101-200 стоят за dfl-800. Желательно еще что бы каждая из железок, была независимым dhcp сервером для компов только на своем lan порту..........

При таком четком разделении - можно
Делаете обычный IPsec, включаете ARP proxy и/или делаете статический маршрут
Более точно проверю - напишу

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

вообщем то приблизительно так и начал, поднят ipsec есть соответственно 2 сети 192.168.1.0/24(офис1) и 192.168.9.0/24(офис2), и теперь машины с адресами 192.168.1.100-104 их всего 5 будет, должны остаться со своими адресами, но быть перенесены физически в офис2. а в настройках ipsec ничего про arp нет, а в настройках ARP нет ничего про ipsec, там можно конечно создать группу интерфейсов - в нее включить ipsec, и для этой группы интерфейсов прописать ручками эти 5 IP-МАС сответствий. Это имелось ввиду?
Судя по всему не это, такой фокус не прошел, при попытке загрузить такую конфигурацию, она написала что ваша группа содержит недопустимый тип интерфейса

Вы привели разные подсети - 1.х и 9.х - в таком случае не надо ничего делать, кроме как поменять адресацию.

Но если вы хотите иметь 1.х в обоих офисах, то вот вам порядок действий, только что проверил на стенде - работает.
Положим, что мы делим подсеть 1.х пополам - 192.168.1.1-192.168.1.126 будет в первом офисе, 192.168.1.129-192.168.1.254 во втором.
Ниже я привожу действия для DFL офиса №1, для второго - различия подпишу

Objects > Address book > InterfaceAddresses
Устанавливаем
lan_ip = 192.168.1.1 (для второго DFL = 192.168.1.129)

Objects > Address book > RemoteNetworks
Добавляем
remote_net = 192.168.1.0/25 (для второго DFL = 192.168.1.128/25)

Interfaces > IPsec
Добавляем интерфейс, например назовем ipsec
Устанавливаем local, remote network = lannet
Снимаем галку Add route for remote network на вкладке Advanced

Routing > Routing tables > main
Добавляем маршрут с метрикой ниже (приоритетнее), чем у lan/lannet (по умолчанию 100)
ipsec remote_net 99, proxy ARP: выберите lan

Rules > IP rules
Делаем разрешающие правила
# входящий пинг
Allow ipsec/lannet lan/lan_ip ping-inbound
# трафик между сетями
Allow lan/lannet ipsec/lannet all_services
Allow ipsec/lannet lan/lannet all_services

На этом у меня все взлетело и пошел трафик
При этом, широковещание через туннель не ходит, поэтому для общего сетевого окружения поднимайте WINS

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вообщем вначале я слукавил, что пополам, пополам сейчас нереально. Нет ли другого способа?
И потом даже к этому способу есть вопросы - какие адреса получают клиенты за dfl? точнее с какой маской?

А моя идея простая - суть в том - есть 2 офиса старый и новый, и какоето время будет функционировать старый, а в новом будет сидеть человек 5-10. И изначально мною руководила лень, перетащить туды в новый офис один из контроллеров домена, оставить его в старой нумерации, что бы с dns не париться, а потом дотащить туда всю оставшуюся сеть.

Раз есть контроллер домена, то есть DNS сервер, можно перетаскивать и между разными сетями. Есть пара тонких моментов с авторизованным DHCP сервером и WINS, но они решаемы и не слишком критичны, даже если на них забить.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Непополам можно, но сложнее - надо комбинировать из меньших масок
У клиентов маска /24 (255.255.255.0)

Варианты еще есть, но тоже надо проверить

Коли есть AD - реально не заморачивайтесь и разведите подсети

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

То о чем я спрошу никогда не занимался - так что не обессудьте.
А возможна такая конфигурация?
Есть 2 dfl-860, за каждым стоит DGS-3100. Подымаем между ними ipsec. 192.168.1.0-192.168.2.0. Можно ли пробросить по нему VLAN чтобы была сеть 192.168.3.0 и пользователи обоих DGS-3100 были в ней и видели друг - друга?

VLAN вы не пробросите прозрачно, но через маршрутизацию, вполне.

При таком раскладе всеравно подсети у вас будут разные.

Дело в том, что IPSec не L2 vpn, поэтому он не умеет объединять одинаковые подсети. Подсети должны обязательно быть разные. Вы можете использовать фальшифую подсеть и просто "за натить", но если вы используете voip то нормально работать он не будет.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

То, что вы описываете, точно не возможно на DFL. Реализовать подобный функционал можно на моделях других производителей, например, с использованием технологии Ethernet over IP. Но покупать доп. оборудование на время переезда, наверное, не слишком красиво.

Видно, что вам очень хочется сделать 2 разных сети в одном адресном пространстве. Насколько я понимаю, в связи с переездом, растянутым по времени.

Вы можете описать все конкретные причины чем вас не устраивает использование двух разных подсетей в этих офисах?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.