Здравствуйте!
Ситуация:
192.168.1.0/24 ---- dfl-260e-----ipsec--------dfl860e--------(192.168.0.0/24)
192.168.1.11 192.168.0.11
\
\
dmz dmz_ip 192.168.14.101
\
(192.168.14.0/24)
Необходимо попасть из 1.0/24 в 14.0/24.
из 1.0/24 в 0.0/24 попадаем.
из 0.0/24 в 14.0/24 попадаем.
Какие маршруты и где прописать? какие правила?
И маленький вопросик, что имеется ввиду интерфейс и локальный Ip-адрес в интерфейсе при создании нового маршрута?
Помогите, сам туплю в этом жутко.

ну так выкладывайте таблицу маршрутизации и скрины правил , поглядим
наверняка правил нету для прохождения трафика или сети не сгрупперованы как LocalNet и RemoteNet.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В IPsec со стороны 260Е используйте не 192.168.1.0/24, а группу из 192.168.1.0/24 + 192.168.14.0/24
На 260Е сделайте Allow правила для трафика

Локальный адрес в маршруте - это если у вас на интерфейсе несколько IP, обычно не используется

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Блин, не пойму как объединять. Два варианта же.
1. 192.168.0.0/24 + 192.168.14.0/24 = 192.168.0.0/16 и единственное что надо тут, я понимаю, нужно на 260 в адресной книге заменить маску 0.0/24 на 0.0/16
2. 192.168.0.0/24 + 192.168.14.0/24-- объединяем в адресной книге общим названием.. или как вариант добавляем 14.0/24 в группу интерфесов тунелей
Как всё-таки делать?

в адресной книге создать две записи
IPv4=192.168.0.0/24
И
IPv4=192.168.14.0/24
потом из этих записей создать группу IPv4 и е ее использовать в правилах и маршрутизации

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вот создал на стороне 260 сеть tis_net 192.168.14.0/24
объединил
unit_net (192.168.0.0/24;tis_net)
добавил tis_net в группу всех сетей тунелей ipsec_group_net(192.168.0.0/24; 192.168.0.2/24; и т.д.; tis_net)
в настройках тунеля заменил 0.0/24 сеть на unit_net
и по идее так как правила у меня на группу ipsec_group_net завязаны.. с ними значит должно всё ок быть..
Вобщем не работает, не пингуется 14.0/24 сеть
Может чего на центре надо сделать?
и правильно ли менять сеть на объединённую в настройках ipsec тунелей

ну естественно надо , сделать все тоже самое в обратном порядке .
пущенуму пакету надо знать не только как достичь точки назначения - а также и как вернутся
в итоге у вас должно получится
удаленная сеть в параметрах туннеля та что в центре а локальная такая же группа .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Можно иначе -- везде all_nets и как Local и как Remote в настройках туннелей. Только в этом случае галки автоматического создания маршрутов надо снять и написать маршруты вручную, но ИМХО получается понятнее.

Урраа!! Спасибо Vladimir22 большущее!!
Поменял в центре, на 860, в параметрах туннелей lannet на объединённую сеть unit_net, и всё заработало!!!

alex63, возьму на заметку, спасибо.
Ещё предстоит аналогично подружить Dl-804hv с DFL-860E, вместо 260E))

затем еще в свойствах туннеля поставить

и маршруты руками расписать в таблице .
да так тоже можно -
у меня работает

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

аналогично не получится . не умеет 804 делать группу сетей , если сможете обеденить их по маске то работать будет - нет ..... ну как говорится и суда нет

вот по этой причине 804 и на полке пылится ... вместо него 210-й

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

возмите на заметку фразу которую я написал , про пакет
на dfl это ощущуется в полной мере .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

У меня 1420 стоит)) заменяем на 2000 и ускоряемся?
а ip адрес lan_ip непосредсвенно указан это для чего?

1. не факт но помогает .
2. этот скриншт с железяки где в параметрах туннеля Remote И local net - стоит All-Net.

надо что бы знали железяки кто из них кто

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

1. Насчет MTU странно. Смысл этого ограничения такой -- приходит пакет 1500 байт (максимум для Ethernet), к нему добавляется служебная информация IPSec, в результате он получается, скажем, 1570, а его надо пропихнуть по несущей сети, в которой MTU, например, 1492. Приходится фрагментировать, и появляется неэффекивный короткий довесок. И на приемном конце это еще нужно собрать, прежде чем расшифровывать. А при ограничении MTU сработает протокол PMTUD и отправитель не будет слать пакеты больше 1420, которые должны пролезть даже с "оберткой".
2. Я для "портала" туннеля завожу отдельный ip (не lan_ip) -- так понятней, например, при трассировке.