Здравствуйте, помогите, пожалуйста, разобраться в маршрутизации. Есть два Dlink-DFL с настроенным ipsec между ними. За LAN сеткой одного из них есть еще одна сеть (назовем LAN2). Не могу со второго D-Link пропингать сеть LAN2 за первым. При этом LAN сети обоих D-Link пингаются через ipsec, Ipsec работает.
LAN2 --- LAN --- DFL260(1) -ipsec- DFL260(2) --- LAN
С первого D-link LAN2 сеть доступна. НА DFL(2) прописал маршрут:
Interface: ipsec Network: LAN2
Пробовал различные варианты с разными вариантами Gateway и LocalIP, ничего не помогает. В праилах пинги со всех сетей и интерфейсов туда обратно разрешены. Помогите корректно прописать маршрут! И как в случае маршрутизации в ipsec корректно указывать Gateway и LocalIP?
Спасибо!

скрины правил в студию

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Кроме маршрута (они кстати должны быть на обоих "сателлитах") надо указать обе сети в качестве remote/local networks в параметрах IPsec туннелей
На эту тему есть FAQ http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav, спасибо! Добавление интересующих сетей в Remote/Local помогло, но частично.
Как я понял, все сети откуда/куда идут пакеты должны быть соответственно перечислены в этих полях.
Но у меня проблема. С обеих сторон по 3 сети. Я сделал 2 группы Local_Nets_1, Remote_Nets_1 и Local_Nets_2, Remote_Nets_2 для каждой стороны, куда вошли по 3 сети. при применении конфига выпадает ошибка

Attempting to use previous set of configuration data...
IPsec SA [Initiator] negotiation failed:
Local Proxy ID 192.168.10.0/24 any
Remote Proxy ID 10.8.99.0/24 any
License file successfully loaded.

Configuration done

В результате в закладке STATUS -> IPSEC всегда присутствует только маршрут на 1 сеть на стороне D-Link #1 (направление D-Link1 -> D-Link2)

194.8.231.4 10.8.99.0/24 10.0.0.0/8 des-cbc
194.8.231.4 192.168.1.0/24 10.0.0.0/8 des-cbc
194.8.231.4 192.168.250.0/30 10.0.0.0/8 des-cbc

и три "зеркальных" маршрута на другом D-Link (направление D-Link2 -> D-Link1)

Почему может выскакивать такая ошибка? Я правильно понял, что маршрутов должно быть 6?

проверяйти не пересекаются ли где сети.
у вас должно быть 1 туннуель и в нем
Local_Nets_1 - сеть первого DFL
Remote_Nets_1- все сети которые лежат за вторым DFL

на втором DFL естественно также .
в таблицах маршрутизации должно быть

Remote_Nets_X IPsec - соответственно .

и еще отключите в настройках туннеля создание автоматических маршрутов - возможно они там что то вам портачат и как следствие сети пересекаются

покажите скриншотами . таблицу маршрутизации и настройки туннелей с обоих DFL

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А за первым D-Link (со стороны LAN) также несколько сетей, из которых траффик попадает в туннель. Они должны быть перечислены в Local Nets для ipsec или нет? Или их можно смршрутизировать в сторону LAN, без указания в Local Nets?

конечно они должны быть перечислены в группе Local_net и удаленные в Remote_net.
соответствующие группы должны быть созданы и на удаленномм DFL, и использоватся в параметрах туннеля и в правилах .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Если negotiation failed, проверьте чтобы сети были с обоих сторон одинаковые. Как вариант, переделайте все туннели с network = 192.168.0.0/16 и маршруты сделайте руками.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Между LAN2 ---?---LAN на стороне DFL260(1) что то есть?