Дано: В головном офисе установлен DFL-860e в удаленном DI-804HV. Связь между офисами сделана не через интернет, а через VLAN у провайдера. Т.е. компы подключенные в сеть в удаленном офисе находятся в локальной сети основного. Требуется зашифровать трафик проходящий через провайдера при помощи IPSec. Т.е. DI его зашифровывает, а DFL расшифровывает и наоборот. Схема L2TP сервер на DFL и клиент на DI не подходит. Т.к. в этом случае компы в удаленном офисе будут за NAT и висеть на одном IP, а нам требуется иметь полный доступ ко всем компам в удаленном офисе из головного. Как решить данную задачу?

Ваша пара устройств прекрасно поддерживает IPsec - выделяйте под "VLAN" отдельную подсеть (со своей адресацией), дальше по FAQ

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Как то не выходит каменный цветок.
Решил начать с простого и настроить соединения между сетями через раутеры, но без IPSec. Настроил DMZ интерфейс на DFL, правила на файрволле. На клиентском удаленном компе статический IP из подсети DMZ. Воткнул клиентский комп на прямую в порт DMZ на DFL. Все работает.
На DI на WAN ставлю IP из DMZ сети, шлюзом ставлю DMZ IP на DFL, DHCP включен, NAT включен. Подключаю клиентский комп (IP по DHCP) к DI. Комп видит сеть основного офиса.
Выключаю на DI NAT (что бы можно было подключаться из основного офиса к компам в удаленном). Разрешаю на файрволле DI любой трафик во все стороны. На DFL добавляю маршрут для подсети которую раздает DI своим клиентам на интерфейс DMZ. Разрешаю траф в эту подсеть на DFL. Не работает.
Попробовал настроить, что бы DHCP на DI выдавал IP из той же подсети, что и DMZ. Тоже никак не работает.

Что я упустил?

У вас в удаленном офисе (с DI) есть интернет или только VLAN?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Только VLAN. Интернет у них работает через головной офис.

В таком случае, с компьютеров надо поднимать соединения... РРТР или L2TP over IPsec - это Windows может сам, для чистого IPsec понадобится отдельный (чаще всего платный) клиент.
В такой конфигурации будут проблемы с локалкой - подключенный к центральному офису, компьютер либо не будет видеть свою локальную сеть, либо будет все гонять через центр.

Поэтому, мой вам совет поставить в филиал тоже DFL и сделать между маршрутизаторами нормальный IPsec.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В филиал мне DFL руководство не разрешит купить. Дороговат он.

Я вот как то не совсем понимаю. Если вы говорите, что такую схему можно организовать на DFL-DFL, но не получается на DFL-DI, то выходит, что на DI IPSec какой то "неполноценный"? Или что есть причина? Чем в данном конкретном случае DI хуже DFL?

И, кстати, я так и не понял, почему же не работает система описанная в 3-ем посте этого топика? Там до шифрование дело еще и не дошло.

Урра! Без шифрования связь заработала! Косяк заключался в том, что в маршруте на DFL в сеть удаленного офиса надо было указать шлюз как IP порта WAN на DI.

Буду теперь пытаться завернуть все это в IP sec туннель.

DI не умеет заворачивать весь интернет в IPsec. Это не "неполноценность", это просто отсутствие такой функции

С простой маршрутизацией через VLAN больших проблем, собственно, нет

Если у вас в офисе есть DI и вы готовы несколько потерять в стойкости шифрования, можете на нем сделать WAN типа РРТР и подключить его к DFL
Для этого надо будет отключить NAT - проверьте, можно ли это будет сделать на DI

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Не понял. А что он умеет заворачивать в IPSec тогда?

Только определенные сети - это вообще основное назначение IPsec, сделать туннель для связи двух сетей

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ну вот! Это мне и нужно. Просто не понятно, почему вы предлагаете это реализовать на PPTP?

Попытался теперь соединение что я настроил, между раутерами, завернуть в IPSec.
Сделал все как здесь http://dlink.ru/ru/faq/92/520.html
К сожалению, не заработало. Единственный момент, что меня смутил: в инструкции написано, что в IKE Proposal Index в Encrypt algorithm надо выставить 3DES, а у меня позволяет поставить только DES-56bit. Почему так? И является ли это причиной проблемы?

Упс! Внезапно заработало! Сам только не понял почему.

Теперь еще вопросик: следует ли ожидать каких либо проблем, если я подключу несколько DI раутеров к одному DFL по способу описанному в FAQ? Т.е. на DFL нарулю несколько IPSec туннелей, которые по настройкам будут отличаться только лишь в параметрах Remote Network и Remote Endpoint.