Привет всем, помогите, не могу сам осилить.(
Схема следующая:
не пингуется роутер2 0.12 с роутера4.11 ну соответсвенно не пингуется dmz
компьютер *.3.20
\
роутер удалённый DI-804HV *.3.11
|(ipsec vpn)
роутер DI-804HV(192.168.0.11)----роутер2 DFL-860E(192.168.0.12)-----dmz192.168.14.13
\
lan192.168.0.0
Так вот не пингуется с компьютера .3 подсети DFL-860E(0.12) ну и соответсвенно адрес в dmz. Хотя пинугется роутер(0.11) и компьютеры в 0 сети.
Из 0 подсети всё пингуется
В логах:
2012-06-27
14:17:50 Предупреждение RULE 192.168.3.21
6000051 Default_Access_Rule ICMP lan 192.168.0.12 ruleset_drop_packet drop
ipdatalen=40 icmptype=ECHO_REQUEST echoid=1 echoseq=64185

Сколько правил не делал, не получается и всё тут. Как победить, каким правилом?
Таблица правил:

картинка тут http://imagepost.ru/images/p/ra/pravila_3.png

ну скрин правил - В студию

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Нужны не только правила, но и настройки туннелей (с обоих сторон), а также схема с адресацией, коли у вас за DFL несколько сетей

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Тунели поднимаются 804-ками, на 860У только dmz и lan.
маршруты: (не обращайте внимание на wan, они не подключены и тунели, это когда то я пытался поднять, так и не получилось.)
тоесть актуальны только 2 маршрута сверху, и 2 снизу.
http://imagepost.ru/images/r/ul/rules_6.png

Не открываются картинки...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Основной смысл вопросов - у вас в параметрах IPsec должа быть группа из lannet и dmznet, но на DI это невозможно
Посему, заработает ваша конфигурация только если lannet и dmznet можно объединить по маске

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вопрос немного другой теперь, схема такая:
--di804hv(192.168.3.11)-----vpn-----di804hv(192.168.0.11)------(192.168.0.12)dfl860e(192.168.14.21)-----192.168.14.0
На df860e внешний интерфейс 192.168.14.21
С 3.0 подсети вижу 0.12 шлюз, но не вижу внешку 14.21
С 0.0 подсети вижу всё
Вопрос: Можно ли как-то сделать чтоб увидеть 14.0 подсеть с 3.0 сетки?? на каком шлюзе и чего надо сделать?

Насколько я знаю DI, они не умеют пропускать пакеты из IPsec в IPsec, тут вам нужен DFL

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ipsec у меня один, между 3.0 и 0.0 а там просто лан, если точнее 14.21 это адрес dmz порта.

Не факт, что DI сможет это, но попробовать можно

В параметрах IPsec укажите со стороны di804hv(192.168.0.11) сеть 192.168.0.0/16
На di804hv(192.168.0.11) пропишите маршрут на сеть 192.168.14.0/24 через 192.168.0.12
На DFL пропишите маршрут на сеть 192.168.3.0 (ту, которая за удаленным DI) через 192.168.0.11

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо, помогло,поменял маски на тунеле на /16 и маршруты прописал.
Получилось что с 3.0 сети пингуется адрес dmz порта 192.168.14.21, но не пингуются ни в какую адреса в 14 сети.
С 0.0 подсети всё ок. В логах:

2012-07-04 17:23:05 Информация CONN 600002 ping4 ICMP lan dmz 192.168.3.21 192.168.14.5 conn_close
conn=close connsrcid=1 conndestid=1 origsent=240 termsent=0 conntime=24
2012-07-04 17:22:41 Информация CONN 600001 ping4 ICMP lan dmz 192.168.3.21 192.168.14.5 conn_open
conn=open connsrcid=1 conndestid=1

тоесть, я так понимаю что правило разрешает пинговать, видимо проблемы с маршрутом или ещё в чём то
маршруты на dfl860e 0.12 такие:(статус-маршруты)
192.168.0.0/24 lan 90
192.168.14.0/24 dmz 100
0.0.0.0/0 lan 192.168.0.11 90
Что ещё предпринять чтоб увидеть 14 подсеть с других подсетей?

Вы по Status > Connections на DFL видите проходящие в локалку пинги?
Если нет, проверяйте правила
Если да, проверяйте компьютеры в 14 подсети - возможно, антивирусы/файрволы на них блокируют соединения извне "своей" сети

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Пингую с 3.0 14.0 сеть в с статус-соединениях:
PING ICMP lan:192.168.3.21:1 dmz:192.168.14.13:1 6
в логах:

правило такое:
ping4 Allow lan Ipsec_group_net(192.168.3.0) dmz dmznet ping-inbound
Антивирусов нет, так как с 0. сети все адреса в 14 сети пингуются нормально

Если я все верно понимаю, у вас все хорошо на DFL
На хостах 14й сети DFL указан шлюзом?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Нет, 14 сеть не моя. DFL точно шлюзом не будет.