Доброго времени суток!
В общем, задача на первый взгляд не сложная. Но, как оказалось, только на первый взгляд. Сразу оговорюсь: перечитал множество мануалов/форумов, перепробовал кучу вариантов подключения, потратил уйму времени, но пока не особо получилось...
Нужно связать 2 подсети через VPN: основной офис (офис 1) и филиал (офис 2). При этом, обязательным условием является то, что в основном офисе шлюзом для юзеров ЛВС должен оставаться ПК-шлюз (с Traffic Inspector-ом). Что имеется на данный момент?
Есть 2 офиса. Они соединены между собой через VPN (IPSec) аппаратными средствами (роутеры D-Link DI-804HV). Схема изображена на рисунке в приложении, где X.X.X.X и Y.Y.Y.Y - статические IP-адреса от провайдера. Оба DI-804HV находятся за NAT (на DMZ это тоже распространяется, если я не ошибаюсь). При этом в офисе № 1:
1) с внешнего интерфейса шлюза (на рисунке это "Х.Х.Х.Х") организовано перенаправление портов TCP/50 (ESP), UDP/500, UDP/4500 на DI-804HV (192.168.50.137) средствами ОС (Windows 7);
2) там же, на шлюзе прописан статический маршрут: "route add -p 192.168.1.0 mask 255.255.255.0 192.168.50.137 IF №", где № - номер внутреннего интерфейса шлюза (192.168.50.1);
3) в DI-804HV (192.168.50.137) прописан следующий статический маршрут:
Destination: 192.168.1.0
Subnet Mask: 255.255.255.0
Gateway: Х.Х.Х.Х

Туннель настроен верно, на обоих DI-804HV включена опция IPSec NAT Traversal.
При всей этой "схеме" туннель устанавливается только между самими VPN-роутерами (при пинге с любого компа в офисе 1 компа из офиса 2), а сами компы из 2-ого офиса (да и из первого при пинге из офиса № 2) не пингуются.
Собственно, вопросы:
1) куда копать, что делать, чтобы объединить подсети;
2) может ли вообще работать представленная на рисунке схема;
3) может ли DI-804HV нормально работать, находясь за NAT.

Огромная просьба помочь разобраться! Очень долго бьюсь с этим вопросом...
И ещё раз повторюсь: схему можно менять/крутить как захочется. Основным условием является то, что шлюзом для выхода в инет для пользователей основного офиса должен оставаться ПК с TI. Если нужна будет доп. информация, напишу.
Схема:
http://s017.radikal.ru/i414/1209/0b/bd9a6dc5adce.jpg

а с D-linka 192.168.50.137 пингуются ли D-link 192.168.1.4 и станции за ним?

Нет. Только устанавливается туннель. Пинга нет.

Ещё вопрос родился: при организации VPN обязательно ли должен быть задействован WAN-порт роутера?
И если да, то можно ли устанавливать одинаковые IP-адреса в настройках WAN и LAN роутера? Например, в настройках LAN прописан 192.168.1.2 и в настройках WAN такой же (Static IP), т.к. роутер, допустим, находится за NAT, и получает интернет через шлюз, NAT раздающий.

очень странно, обычно, если VPN поднялся, то пинги непосредственно с DI804, всегда доходили до другого маршрутизатора...

а попробуйте убрать вот это:
3) в DI-804HV (192.168.50.137) прописан следующий статический маршрут:
Destination: 192.168.1.0
Subnet Mask: 255.255.255.0
Gateway: Х.Х.Х.Х


будут ли при этом, пинговаться DLinkи из своих WEB интерфейсов?

Пробовал. Если убрать этот маршрут, то при трассировке любого узла офиса №2 из офиса №1 видно, что DI-804HV (192.168.50.137) перенаправляет пакеты на внутренний интерфейс ПК-шлюза (192.168.50.1), что логично, т.к. в его WAN-настройках следующее:

При этом, напомню, что DI-804HV (192.168.50.137) подключен к ЛВС только через LAN-порт (WAN-порт не задействован).
А т.к. на ПК-шлюзе прописан маршрут, перенаправляющий пакеты (предназначенные для 192.168.1.0/24) на DI-804HV (192.168.50.137), то при пинге они и перенаправляют друг другу пакеты. Естественно, пинг до DI-804HV (192.168.1.4) не дойдёт.
Да, с DI-804HV (192.168.50.137) доходит пинг до Y.Y.Y.Y, но это особой роли не играет, я полагаю.

Неужели ни у кого никаких мыслей по этой теме нет?

Ни разу не делаал IPsec без использования WAN интерфейса DI-804... :-(
Я бы, попробовал на WAN DI-804HV 192.168.50.137 прописать какую-нибудь сеть, типа 192.268.z.0 а на итерфейсе ПК-шлюза прописал алиас из этой же сети...

В таком случае не возникнет ли проблем с самим туннелем из-за того, что в VPN-настройках DI-804HV 192.168.1.4 прописана сеть 192.168.50.0, а на деле будет коннектиться к DI-804HV (офис 1), имеющий подсеть 192.268.z.0?

Под алиасом вы понимаете стат. маршрут, как я понял?

И сотрудников техподдержки не наблюдается...

Тема VPN не раскрыта!

Up!

UP!!!

По моему должен быть настроен Wan порт. Хотя бы в филиале .
Настройки шлюза такие же остаются
wan : y.y.y.y
lan : 192.168.1.1

Настройки Длинка :
Wan : 192.168.1.2
lan : 192.168.2.1
(здесь также можно включить dhcp)

Настройки lan офиса 2
192.168.2.0/24

На шлюзе проброс портов , так как nat не пропустит.

Сам 2 недели настраиваю . Зае.....ся.

Уже попробовал и с настроенным WAN-портом в филиале (ADSL-роутер в режиме моста). Результат тот же: при пинге компов с разных офисов устанавливается туннель лишь между DI-804HV (без проблем). Дальше - никак.
Посему забил на это (сколько уже можно?!), настроил стандартно - не за NAT-ом. Естественно, всё это работает через пятую точку, на мой взгляд.