Подскажите пожалуйста как можно настроить доступ в инет для remoteoffice по портам отличным от http(s),т.е. для программ типа taxcom etc?

Между офисами есть канал точка-точка(ipsec).
Из remoteoffice есть доступ к servers(через ipsecTunnel) в локальную сеть
Из remoteoffice есть доступ в инет(через центрофис), но только через браузер(с указанием proxy в центрофисе) -80, 443 порты. Т.е. связь по 25 порту(к примеру) на внешний ip не работает.
inet-(wan)cisco--servers(proxy,etc)--(lan)dfl800(wan2)--(ipsecTunnel)--dfl800(remoteoffice)
У этого (lan)dfl800(wan2) есть еще один порт wan(в инет). Через него и пытаюсь выдавить наружу пакеты с remoteoffice

Моя логика такая:
с клиента идет запрос на внешн адрес
на dfl800(remoteoffice) я прописал дефолтный маршрут в туннель
dfl800(remoteoffice) его кидает в туннель
dfl800 его ловит из туннеля и так как там маршрут по умолчанию на wan нацелен, то вероятно выкидывает его в инет. Nat вроде настроил
На практике я даже логов на dfl800 не вижу с ip клиента. Может он после туннеля его в локальную сеть пытается прокинуть , а потом еще дальше или еще что
Я бы доступ в инет через cisco я бы с удовольствием дал, только я пакеты на ней не вижу из туннеля.

на ремоте офисе , делаете туннель с параметром All- nets
убираете автоматически создавать маршрут ( делаете его руками )
метрику маршрута меньше чем текущий или что там есть .
в центре NATите клиентов из ремот офис в интернет - все работает

не забываем что DNS должны быть живыми и отвечать ... а то будете говорить что интернета нет .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Т.е. еще один туннель что ли настраивать или менять параметры существующего?

Если оставлять старый, то не надо параметр Local_Net менять на all_nets? Сейчас там локальная сеть центрофиса стоит.

А для nat-а в центре указывать?
src if - tunnel-remoteoffice
src net - remoteoffice_lan
dst if - wan
dst net - all_nets

на удаленном конце делаете в Remote net All-nets

и потмо ваши правила

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

че то не заработало пока

показывайте скрины

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

как то так

а теперь проговорите словами первую группу правил , которая у вас разрешает трафик .
и вообще хорошим тоном не выдержки делать , а полностью снимать скриншоты
порядок правил у вас не понятен что и куда

из удаленного офиса сделайте
tracert -d 8.8.8.8
куда полезет

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

У меня всегда проблема с открытием tracert на dlink-ах.Как то он там хитро открывается.Хотя я вроде открывал.
Превышен интервал уже с первого хопа

Выдержки сделал так как в центрофисе куча ненужного(там другие каналы штук 15). У них все хорошо. Только вот одному офису понадобился хитрый выход в инет.

>а теперь проговорите словами первую группу правил , которая у вас разрешает трафик .

Правило Test33 вроде все открывает пока. Или any any на длинке не означает куда угодно-что угодно?

уберите его .... и ни когда так не делайте

в правиле где у вас ипсек в центр
надо
allow lan\ lan-net ipsec-\all-nets all-service
allow ipsec\all-nets lan-lannet all-service

в центре
NAT: ipsec\remote-net WAN\all-net all-service

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Не используйте any. указывайте всегда конкретные интерфейсы или группу интерфейсов.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...