Vladimir22, что изменит, если я Вам сделаю скрины с этим правилом?
Я повторюсь поставил я это правило (NAT any\all-nets any\all-nets ping-outbound) на двух DFL на 860 и 260, с предложенными Вами настройками. Поместил их в самый верх, как приоритетные. (P.S. в lan_to_wan, есть похожее правило, которое устанавливается по дефолту, я его отключал и включал). Не идет трассировка с удаленной 260, хотя IPSec работает все что нужно локально бегает (чаты, сетевые папки, терминалы, видосерверы) на первой все работает с этим правилом (та которая имеет доступ во внешку), на удаленной с этим правилом ничего не работает.

И Я не читатель и не пытаюсь вести блог (я человек, которому нужно настроить хождение в IPSec интернета), если Вы к тому что я так долго отвечаю , так наверно Вы с центра России, а я сам с Дальнего Востока временные промежутки разные у нас.

Если вам нужно, ехать, а не шашечки, можете поднять L2TP сервер в центре, его клиента в филиале, и через NAT выходить в инет. А потом уже пытаться решить эту проблему.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, у нас есть одно подразделение, которое сидит на L2TP сервере и у них все работает, так как DFL-260E, которая едет с Москвы, будет примерно в мае где-то в середине, в итоге будет их три и L2TP останется в будущем только для удаленного подключения для некоторых сотрудников, которым необходимы внутренние ресурсы фирмы с дома или за рубежом. Привязать связь L2TP клиент сервер на DFL был вариант, но хотелось бы именно IPSec пользоваться, это же правильней, а то подразделение в котором воткнута сейчас 2-я DFL могут потерпеть без интернета, так как он им практически там не нужен, а вот в 3 будет необходим, вот и мучаюсь с этим, пока не пришла 3-я железяка.

так давайте разложим по полочкам
1. вы сделали настройки туннеля с Allnets как я описывал !?
2. почему на одном DFL есть маршрут до All-Nets через туннель !?
3. почему не освещены папки правил - а тольког скудное описание что типа все по дефолту - дефолты разные бывают .
4 где правила хождения траффика в туннель с парамерами All-Nets ?!
5 почему после добавления правил - не было трассирки ?!
6. где указания IP адресов DFL- , я кажется просил это описать !? или вы считаете это секретной инфой !?

типавую задачу растянули на вторую страницу .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я имел ввиду, что IPsec не трогать. Пусть он связывает локальные сети. А сделать L2TP только для инета

У меня так и сделано между двумя DFL-210. И если бы я пустил инет по IPsec, он грузил бы DFL и скорость давал не более 17 МБит/c. А так я имею раза в 2 больше.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В общем вопрос снимается с обсуждения все работает, огромное спасибо Дальневосточному представителю Ивану с Хабаровска (в общем делали с нуля все, по аналогии с примером Vladimir22, как потом я заметил, сидел и думал что не так я настраивал).

В общем Vladimir22 все было правильно настроено, когда я Вам писал, максимум что сделали, когда я посмотрел все подробно, не стали объединять интерфейсы, а сделали отдельное правило на основной железке и все сразу заработало. C объединением интерфейсов не работало, почему так и не поняли, как сказал Иван, возможно какой-то глюк с объединениями интерфейсов, с чем связано точно сказать не может, хотя он тоже пытался с объединением настроить изначально.

lan_to_wan правила (IPSec поднятый с параметром all_nets, на двух сторонах, с отключённым автоматическим маршрутом и построенным руками, те же что и писал Vladimir22)

на удаленной allow lan\lan-net IpSecRemote\all-nets all-servise (которое писал Vladimir22)
на основной NAT IpSecRemote\Remote_lannet wan\all-nets all_services (которое написал Иван)

Как-то так в общем...Правило пульное, что я делал для L2TP сервера, оказалась истина так близко ))

Огромное спасибо всем кто откликнулся и Вам Vladimir22 и Ивану конечно, что нашел время подключится и посмотреть