Всем доброго времени суток!
Возникла необходимость поднять IPSec между 2-мя DFL-210. У первого DFL версия прошивки по умолчанию 2.26.00, у второго DFL 2.27.00. Пришлось первый обновить до версии 2.26.02.05-13464 и второй соответственно понизить до версии 2.26.02.05-13464.
Далее:

DFL-1

wan_gw: 3.1.3.193
wan_ip: 3.1.3.195
wannet: 3.1.3.192/29
wan_dns1: 212.45.0.3
wan_dns2: 212.45.2.5
wan_dns3: 87.245.145.6
lan_ip: 192.168.1.1
lannet: 192.168.1.0/26
Remote:_IPSec_NET_1: 192.168.1.192/27
Remote:_IPSec_WAN: 8.2.4.28
Интерфейсы -> IPsec -> TUNEL_1 lannet Remote_IPSec_NET_1 Remote_IPSec_WAN PSK (делал все по инструкции)
IP-правила -> lan_to_wan ->
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough_av NAT lan lannet wan all-nets ftp-passthrough-av
4 allow_standard NAT lan lannet wan all-nets all_tcpudp
IP-правила -> IPsec ->
1 IPSec_to_LAN Allow TUNEL_1 Remote_IPSec_NET_1 lan lannet all_services
2 LAN_to_IPSec Allow lan lannet TUNEL_1 Remote_IPSec_NET_1 all_services
Маршрутизация ->Таблицы маршрутизации -> main->
1 Маршрут TUNEL_1 Remote_IPSec_NET_1 90 No Direct route for network Remote_IPSec_NET_1 over interface TUNEL_1.
2 Маршрут lan lannet 100 No Direct route for network lannet over interface lan.
3 Маршрут dmz dmznet 100 No Direct route for network dmznet over interface dmz.
4 Маршрут wan wannet 100 No Direct route for network wannet over interface wan.
5 Маршрут wan all-nets wan_gw 100 No Default route over interface wan.


DFL-2
wannet: 8.2.4.24/29
wan_ip: 8.2.4.28
wan_gw: 8.2.4.25
wan_dns2: 8.8.1.250
wan_dns1: 8.8.2.250
lan_ip 192.168.1.193
lannet 192.168.1.192/27
Remote_IPSec_NET_1 192.168.1.0/26
Remote_IPSec_WAN 3.1.3.195 (пример)
Интерфейсы -> IPsec -> TUNEL_1 lannet Remote_IPSec_NET_1 Remote_IPSec_WAN PSK (делал все по инструкции)
IP-правила -> lan_to_wan ->
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough_av NAT lan lannet wan all-nets ftp-passthrough-av
4 allow_standard NAT lan lannet wan all-nets all_tcpudp
IP-правила -> IPsec ->
1 IPSec_to_LAN Allow TUNEL_1 Remote_IPSec_NET_1 lan lannet all_services
2 LAN_to_IPSec Allow lan lannet TUNEL_1 Remote_IPSec_NET_1 all_services
Маршрутизация ->Таблицы маршрутизации -> main->
1 Маршрут TUNEL_1 Remote_IPSec_NET_1 90 No Direct route for network Remote_IPSec_NET_1 over interface TUNEL_1.
2 Маршрут lan lannet 100 No Direct route for network lannet over interface lan.
3 Маршрут dmz dmznet 100 No Direct route for network dmznet over interface dmz.
4 Маршрут wan wannet 100 No Direct route for network wannet over interface wan.
5 Маршрут wan all-nets wan_gw 100 No Default route over interface wan.

IPsec поднялся только после того как я установил в Keep-alive -> авто
Оба устройства пингуют Lan порты друг друга, но при попытке, например, пинговать с DFL-1 хост который находятся в локалке DFL-2 (и наоборот), пинги не проходят и хосты друг друга не видят в сетях, при проверке статуса IPsec трафик между сетями не идет! Подскажите пожалуйста как можно решить данную проблему? Может необходимо какие-то дополнительные правила прописать?

Ну правила прохождения трафика напишите . С действием аллоу .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Подскажите пожалуйста как правильно прописать правило? Я уже что только не перепробовал, ничего не выходит (((

Allow lan /lan-net ipsec/ipsecremote net :allservice
Allow ipsec/ipsecremotenet lan/lannet all service

И на другой стороне также . И вообще, пора бы в мануалы посмотреть . Там есть мурзилка в картинках, но с другой стороны там di804 . Творчески переработать и все получится .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В том то и дело, что я читал мануал и делал все согласно инструкции, о чем в своем вопросе я упомянул! Я вроде подробно описал свои настройки! И данные правила у меня имеются!
Но трафик все равно не проходит
1 IPSec_to_LAN Allow TUNEL_1/Remote_IPSec_NET_1 lan/lannet all_services
2 LAN_to_IPSec Allow lan/lannet TUNEL_1/Remote_IPSec_NET_1 all_services

Я даже пробовал объединять LAN и TUNEL_1 в группу и создавал следующее правило вместо выше указанных:
Allow Group_1/all-nets Group_1/all-nets_ all_services

Но ничего не меняется!

А сменить за одним из файеров lannet на что-то другое, например, на 192.168.10.0/24 - нет возможности?
И ещё, подсети /26 - это полет мысли, или опечатка?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Изначально предполагалось, что за файрволами будет одна подсеть, пришлось разделить на подсети именно таким образом, чтобы lanet и Remote_IPSec_NET не были одинаковыми! Изначально у меня lanet и Remote_IPSec_NET было 192.168.1.0/24, при таком раскладе я не мог зайти через LAN в веб-интерфейс. Завтра попробую сменить Lannet и отпишусь.
Теоретически, для корректной работы тунели на lannet должны быть разные посети?
Нам нужно чтобы хосты за файрволами чувствовали себя как в одной сети!

Подсети должны быть разными не только теоретически, но и практически!
Есть конечно финты ушами, когда подсети одинаковые, но такое извращение от без'исходности и невозможности избавиться от такого косяка, поскольку гемора по смене адресации в сети порой намного больше, чем изврата с DFL'ками, у которых одинаковые lannet.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

И желательно не использовать нигде и никогда следующие подсети:
192.168.0.0/24
192.168.1.0/24
192.168.10.0/24

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Внес следующие изменения:
DFL-1
Lannet: 192.168.1.0/24
Lan: 192.168.1.1
Remote_IPSec_NET: 192.168.2.0/24
DFL-2
Lannet: 192.168.2.0/24
Lan: 192.168.2.1
Remote_IPSec_NET: 192.168.1.0/24

Уже лучше чем было! Например хост за DFL-1 пингует LAN порт на DFl-2 и наоборот, а так же хост за DFL-1 заходит на хост за DFL-2 по локальному ip-адресу по RDP. Но, при этом, хосты не пингуют друг друга, так же не видят друг друга в локальной сети, например при попытке войти на расшаренную папку с одного хоста на другой! И вообще по мере возможности конечно же хотелось бы, чтобы были не разные подсети, а одна, как это предполагалась изначально! Но главный вопрос, как же заставить хосты видеть друг друга??? Помогите пожалуйста!

Далее все решается разрешениями в настройках брандмауэра и антивируса на локальных машинах.

Стратегически неправильно предполагалось.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Отлично, при отключении брандмауэра хосты увидели друг друга!
Но все же, хоть это и не правильно стратегически, технически есть возможность реализовать одну подсеть за файрволами? Нам нужна именно такая структура сети

Это будут Ваши грабли. Не говорите потом, что Вас не предупреждали! В один прекрасный момент Вы "наступите на свой же хвост".

Четвертая ссылка сверху в перечне мануалов внизу страницы: http://www.dlink.ua/dfl

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Лучше поставить последнюю 2.27.08.03 for WW

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо вам огромное за помощь!
Не подскажите в чем именно такая огромная опасность при поднятии тунеля с одинаковыми подсетями? Ведь это на двух концах наша доверенная локальная сеть.