Всем доброго дня!

Имеется 2 офиса организации. Одна сеть за DFL-210 - 192.168.7.0/24, другая за ISA 2006 - 192.168.0.0/24. Все это связано по LAN. ISA 2006 связана со своей DFL-860E по сети 10.0.1.0/24. Обе DFL имеют свой интернет, но по 7.0/24 выходит в ИНТЕРНЕТ через ISA, не используя свой "резерв".
Между DFL поднят IPSEC-канал.

Вопрос: как через IPSEC из 7.0/24 попасть в 0.0/24? Какой маршрут прописать и где нужно? Все перепробовали уже, ИСа то видит то что приходит по ИПСЕКу из 7.0 но не пропускает что ли, судя по логам. Создание правил и маршрутов на DFL-210 тоже не увенчалось успехом (не получается объяснить что за IPSEC есть сеть 0.0/24 через ISA 2006).
Была мысль связать все это двумя IPSEC (между DFL, и между ISA 2006 и DFL-860) и мучиться далее..

Up

Очевидно, никто не понял, зачем нужно так изощренно издеваться над сетью:
1) Идти в обход, когда есть прямой путь, который будет мешать.
2) Идти через ISA со стороны WAN, откуда она совсем не настроена пускать (она же тоже firewall!).
Если на ISA, как обычно, NAT, то вообще не выйдет.

Если только задачу рассматривать в духе -- "как измерить высоту здания с помощью барометра и секундомера", то, наверное, можно сделать, попутно все сломав .

Идти в обход приходится,т.к. возникают провайдерские перебои в организации межстанционного ethernet-канала (рубят оптику).

Т. е. задача формулируется так: нужно сделать надежную связь между двумя локациями -- основной канал по выделенной физике и резерв -- VPN через Интернет?
Если так, то для начала предлагаю переделать схему соединений -- физическую линию подключить вторым концом к DFL-860E и, разумеется, ввести на ней отдельную адресацию. Также нужно сделать обход ИСы (если решили все делать на DFL). Т. е. локалку втыкаем еще и в DFL. На DFL-860E нам хватит физических портов, например, так: WAN1 - Интернет, WAN2 - межофисная физика, DMZ - WAN-порт ISA, LAN - LAN (шлюз по умолчанию для локалки!).
LAN-порт ISA можно оставить в локалке, но нормально будут работать режимы "Proxy" и "Firewall Client", а для режима "SecurNAT", если он нужен, придется пошаманить с DFL.
Ну и см. FAQ по резервированию каналов. Дополнительный профит -- если Интернет с любой стороны упадет, его можно будет получить через другой офис.

Это крайний случай.Необходимо точно знать - возможна ли попасть из сети 7.0/24 в сеть 0.0/24 через IPSEC.Перестройка о переорганизация сети в данном случае места не имеет,т.к. пока работает DFL (либо ИСА-смотря через что реализовывать) - лан работает. Отрубилось напряжение на DFL - ВООБЩЕ ВСЕ перестало работать, как ЛАН, так ИПСЕК.
В данный момент приходят пинги на ИСУ-на LOCALHOST с IP 10.0.1.X, но мониторинг ИСЫ показывает "Initiated connection" по протоколу PING из подсети 192.168.7.0/24,не пропуская дальше пинги.При этом ИСП дефолтным правилом не блокирует пакеты на LOCALHOST...

Если не менять конфигурацию -- то только терминировать туннель на ИСе, через DFL пропускать транзитом.
И что там у Вас происходит на хостах сети 0.0/24, насколько можно понять, у них там прописан маршрут на вторую сеть через DFL-210, как собираетесь этим рулить?

Это второстепенное, т.к. необходимо,чтобы пользователи за DFL-210 попадали в сеть 0.0/24 за DFL-860 и ISA, а не наоборот.
На самом деле все сводится к тому,чтобы у пользователей на рабстолах не было куча ярлыков с RDP-подлючениями (один при штатной работе сети,другой при отваливании сетки и соединения с кривым ip-адресом ИСЫ,на котором стоит публикация нужного сервера в 0.0/24 сети).
Т.е. хотим получить rdp-ярлык с постоянным адресом конечного сервера сети 0.0/24, а как стучаться на него - DFL-210 должна сама маршрутизировать согласно правилам маршрутизации (доступен ли межстанционный eth-канал,а при его недоступности - идти через интернет по IPSEC (но адрес конечного сервера будет тот же самый - в сети 0.0/24)).

Так не получится. У Вас "конечный сервер сети 0.0/24" должен знать, куда отослать ответный пакет -- на ИСу или на ДФЛ.
Понадобится какой-то скрипт запускать для перенастройки маршрутов.

Все таки настоятельно рекомендую для маршрутизации использовать маршрутизаторы (например, DFL ).
Еще раз --- по Вашей схеме "конечный сервер сети 0.0/24" должен самостоятельно разбираться, какой канал рабочий, это функция маршрутизатора.

Удалось же пинговать ИСу в сети 10,0,0,0/24 из сети 192,168,7,0 через ИПСЕК.ИСа не пускает дальше,что бы ни делали.Или в наших мучениях это максимум что мы можем получить?

Вам же уже разжевал, почему не получится. Не верите -- мучайтесь дальше.
Хотите работающего резервирования -- измените конфигурацию сети на нормальную для такой задачи, Вам для этого даже не нужно ничего докупать, просто шнурки воткнуть по другому .

Хорошо.Тогда другой вопрос: можно ли как-нибудь "подружить" ИСУ с DFL-210 через ипсек (не DFL-210 и DFL-860e).
Тему читал http://www.isaserver.org/articles-tutor ... dlink.html , но в данном случае немного другая схема, "закрытая" DFL-860e.

ИСУ соединять с DFL не пробовал, теоретически должно работать, если задать совместимые параметры. Но Вам это не поможет , в третий раз повторяю, разве что будете менять маршруты на серверах каждый раз при переходе на резерв. И зачем такой мазохизм, когда на имеющемся оборудовании можно сделать (= куча людей сделала) полностью автоматическое резервирование?

Удалось соединить две удаленные сети через два ipsec - один между dfl-210 и dfl-860e и другой между dfl-860e и isa-2006,с маршрутизацией траффика в обе стороны.Чудеса бывают =)
Всем спасибо за содействие и помощь!