Всем доброго времени суток!
Прилагаю схему ЛВС.

В данный момент Интернет трафик идет из сети 10.0.10.0/24 через шлюз 10.0.10.1(DFL-800). Между DFL-800 настроен IpSec , что бы пользователи авторизовались на MS TMG 2010 и централизованное управление трафиком, нужно завернуть Интернет трафик через IpSec.
Каким образом это можно реализовать, может есть готовые инструкции.

В IPsec со стороны подсети с TMG поставьте network = all-nets
Маршрут на подсеть 10.0.0.0/23 добавьте руками
НТТР трафик перенаправляйте через PBR и альтернативную таблицу маршрутизации с дефолтроутом на IPsec

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1) Я правильно понимаю, что на DFL-ке с адресом 10.0.0.10 нужно в IpSec поставить network = all-nets, я думаю что таким образом инет не будет проходить через TMG, т.к. DFL-ка тоже глядит в инет.
2) какой конкретно маршрут, не до понимаю.
3) имеете в ввиду что PBR -это DFL с адресом 10.0.0.10?

Это мне нужно для того что бы завернуть HTTP-трафик из филиала с сетью 10.0.10.0/24 и в сети 10.0.0.0/23 есть сервак почтовый с адресом 10.0.0.7/23 у которого шлюзом стоит TMG и соответственно компы в филиале, у которых шлюзом стоит 10.0.10.1 не видят почтовый сервак.
В итоге должен HTTP-Трафик из филиала ходить через TMG и почта должна ходить через IpSec( видеть сервер почтовый).

>Я правильно понимаю, что на DFL-ке с адресом 10.0.0.10 нужно в IpSec поставить network = all-nets, я думаю что таким образом инет не будет проходить через TMG, т.к. DFL-ка тоже глядит в инет.
Маршрут и IPsec ACL - разные вещи

Считаем, что вам через IPsec надо рулить _только_ НТТР трафик

[10.0.10.1]
remote_net = 10.0.0.0/23

Interfaces > IPsec > ipsec
Remote network = all-nets
Add route for remote network = no

Routing > Routing tables > main
ipsec remote_net 100

Routing > Routing tables > alt_ipsec
ipsec all-nets 100

Routing > Routing rules
lan/lannet wan/all-nets http, forward alt_ipsec, return main

Rules > IP rules
Allow lan/lannet ipsec/all-nets all_services
Allow ipsec/remote_net lan/lannet all_services

[10.0.0.10]
remote_net = 10.0.10.0/24

Interfaces > IPsec > ipsec
Local network = all-nets

Routing > Routing tables > alt_tmg
lan all-nets tmg_ip 100

Routing > Routing rules
ipsec/remote_net wan/all-nets http, forward alt_tmg, return main

Rules > IP rules
Allow lan/lannet ipsec/remote_net all_services
Allow ipsec/remote_net lan/lannet all_services

[TMG]
Должен быть маршрут 10.0.10.0 255.255.255.0 10.0.0.10

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

делал аналогично на DFL260e и DFL860e

не заработало...... работает только если выпускать в интернет допник через голову (dfl860)....

на сервер интернета (kerio, tmg, не суть) ни в какую не могу завернуть маршрут.......

попробовал разные варианты с альт маршрутами на головном устройстве... что-то ничего не помогает..

трассировка из допника на локальные ресурсы в голове идет нормально
трассировка из допника в интернет умирает на первом хопе (роутер в допнике) (fixed)

сейчас завернул на kerio трафик из туннеля, но есть одно но....

маршрут идет так.

g2 - fw2 - fw1 - kerio - dmz_ip(fw1) а дальше трассировка умирает.........

насколько я понял проблема в том, что и туннель и дмз у меня терминируются на одном dfl

соотв нужен еще один альтернативный маршрут..... возврата запроса (который посылался в интернет) обратно в туннель, но по маршруту - wan-dmz-kerio-lan-ipsec-удаленный офис

сейчас в альтернативных только lan /allnets на kerio

надо сделать Min TTL=1
и разрешить трассировку либо установкой галки обработки ошибок в all-servicex, либо правилом для сервиса ping-outbound

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

давно это сделано.) верхнее правило спецом. трассировка не идет, тк не знает по какому маршруту возвращаться скорее всего....

вот схема



LAN_VLAN230 разрешен весь доступ в интернет (all_tcp_udp и ping-outbound)

отличие от самого первого поста в этой теме, что у меня трафик с керио во внешку рулится тоже через dfl...

задачу удалось решить в моем частном случае.... упустил один момент)

1. на GW1 правильно делать такое правило - Allow ipsec/remote_net lan/all-nets all_services