Доброго времени суток.
Есть два Dlink-DFL-860E.
Стоят на разных этажах одного здания.
Каждый имеет выход в свет (WAN-1) через своего провайдера ISP-1 и ISP-2.
Между собой соединены IPSEC (WAN2 <>WAN2) внутри влана ISP-1.
Вопрос:
Как завернуть интернет трафик из сети DFL-2 через IPSec между DFL-1 и DFL-2 на ISP-1?
IPSec поднимается, сети друг друга видят, все хорошо.
Все правила и маршрутизация по дефолту.
Просьба не отсылать в чтение фака и другие интересные места.
Напишите четкий рецепт, если есть желание, время и возможность помочь.
Заранее спасибо.

DFL-1
WAN1
IP: ISP-1_Static_Public_IP
NET: ISP-1_Public_NET
Gate: ISP-1_Public_GW

WAN2
IP: ISP-1_DHCP_Private_IP_1
NET: ISP-1_Pivate_NET
Gate: ISP-1_Private_GW

LAN
IP: DFL-1_LAN_Static_IP_1
NET: DFL-1_LAN_NET/24

Dlink-DFL-860E
DFL-2
WAN1
IP: ISP-2_Static_Public_IP
NET: ISP-2_Public_NET
Gate: ISP-2_Public_GW

WAN2
IP: ISP-1_DHCP_Private_IP_2
NET: ISP-1_Pivate_NET
Gate: ISP-1_Private_GW

LAN
IP: DFL-2_LAN_Static_IP_1
NET: DFL-2_LAN_NET/24

IPSEC DFL-1<->DFL-2

чтобы инет трафик пошел через IPsec, то в качестве сети назначения с одной стороны и сети источника с другой стороны в настройках IPsec должна фигурировать сеть all-nets (0.0.0.0/0).

Помимо этого, разумеется, маршрутизация и IP правила должны соответствовать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

т.е. создавая IPSec
DFL-1
NAME: DFL-1_TO_DFL_2
Loacal Network: Lannet
Remote Network: all-nets ???
Remote Endpoint: DFL_1_IPSec_IP
Encaps.Mode: tunel
Local GW: wan2_ip

DFL-2
NAME: DFL-2_TO_DFL_1
Loacal Network: Lannet
Remote Network: all-nets ???
Remote Endpoint: DFL_2_IPSec_IP
Encaps.Mode: tunel
Local GW: wan2_ip

Верно ли я Вас понял?
Или Вы имеете ввиду, что нужно создать некую группу Remote_Network (all-nets & remote_lan)
и уже относительно нее выстраивать IPSec?

На DFL-2 Remote Network = all-nets

DFL1 Local Network = all-nets

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

DFL-1
NAME: DFL-1_TO_DFL_2
Loacal Network: all-nets
Remote Network: all-nets
Remote Endpoint: DFL_1_IPSec_IP
Encaps.Mode: tunel
Local GW: wan2_ip

на закладке маршрутизация
1.снять галку автоматически сделать маршрут до удаленной сети
2. MTU =2000
3. Ip адресс - определить вручную и выставить LAN_ip

маршруты правильные напишите - с ALL_nets
если нужно резервирование \балансировка - выносите в отдеьную таблицу и там мониторьте на марршруте хосты .

все должно получится , у меня то работает

не забудьте про правила , соответсвующие

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ставить all-nets с обоих сторон нет нужды, если только не возникнет необходимости ходить в инет с DFL-1 через DFL-2.

Кроме того, полезно для уверенности прописать явно маршрут через нужный wan порт до точки приземления Ipsec туннеля

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Просто все отвалилось.

В общем неудивительно, т.к. это не единственное, что надо настраивать.

Вам много полезного написали выше.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо. Сейчас отстроим как Вы написали.

Спасибо. За помощь.

лично я , поднимаю туннели между доверенными DFL с all_nets

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку