Добрый день!

Кратко описание:
Есть беспроводной POS-терминал которому назначается ip-адрес из подсети например 4.4.4.0/24 сотовым оператором. Кроме того между организацией и сотовым оператором установлен Туннель с шифрованием по IPSec через Интернет.
Дальше Firewall DFL1600 соединен с маршрутизатором Cisco1841 который уходит в подсеть на сервер,где обслуживаются терминалы.

Схема http://forum.dlink.ru/download/file.php?id=614&mode=view

Важно!!! сотовый оператор отказался настраивать маршрутизацию в своей сети.
На терминале маршрутизацию настроить нельзя
Туннель настроил, соединение прошло. И теперь самое главное. Терминал обращается на адрес 10.100.100.100 порт 5581.
Вопросы:
1. Как увидеть на firewall обращение к адресу 10.100.100.100 от терминала?
2. какие необходимо внести изменения на DFL1600 чтобы смаршрутизировать дальше на маршрутизатор обращение к ip 10.100.100.100

Готов ответить на вопросы, которые появились.

POS терминал роутит все данные в IPsec?

Какие параметры (сети) у туннеля?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Со слов сотового оператора, что POS терминал роутит все данные в IPseс

Параметры сети у туннеля:

Local Network:10.30.30.0/24
Remote Network: 4.4.4.0/24
Remote Endpoint: ip-адрес (внешний) оператора сотовой связи через который устанавливается туннель

Automatically pick the address of a local interface that corresponds to the local net - отмечен

NAT Traversal - Off.
Security Association - Per Net
Dead Peer Detection - Use Dead Peer Detection
Automatically add route for remote network - Add route for remote network = 90 стоит галочка

взято из IPSec Status:
Name: IpSec_Mobile
Local IP: 10.30.30.2
Broadcast: 0.0.0.0
Local Network: 10.30.30.0/24
Remote Network: 4.4.4.0/24
Remote Gateway: xxx.xxx.xxx.xx
IKE Mode: Main
D-H modp group: 2
NAT Traversal: Disabled
SA per: Net
PFS: Disabled
Config Mode: Disabled
DHCP over IPsec: Disabled
Add Route: Disabled
XAUTH Client: Disabled
XAUTH: Disabled
Keep-alive: Enabled (auto)
Authentication: PSK: IpSec_Mobile_key
MTU: 1420

Send Rate: 0 kbps
Receive Rate: 0 kbps

Сделайте на DFL local network = all-nets и разрешите NAT правилами трафик
Если POS терминал корректно настроен, то трафик пойдет из туннеля

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Добрый день!

Сделал как вы посоветовали на DFL local network = all-nets. Сохранил конфиг и туннель перестал подниматься.
Если я правильно понимаю то сотовый оператор с кем устанавливается туннель, прикрутил его (туннель) к сети 10.30.30.0/24 а надо к конкретному ip-адресу 10.30.30.2.

Щас посмотрел технические характеристики туннеля,которые зафиксированы в договоре. Там есть такая запись:

Client VPN Device: ip address - наш внешний ip. Encryption Domain - 10.30.30.0/24

Mobile VPN Device: ip address - их внешний ip. Encryption Domain - 4.4.4.0/24

Раз так, то без вариантов - ACL его вы сами привели сейчас, поперек него не пройдешь

Выбивайте у сотового оператора чтобы добавляли в remote (с вашей стороны) сеть еще и POS подсеть

Либо, если обмен несложный и односторонний, попробуйте сделать виртуальный IP в вашей сети для сервера

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Тема закрыта. Всем спасибо.
Проблема решилась перепрошивкой POS-терминала и натированием прошитого в терминале ip в необходимый.