Не могу настроить маршрутизацию.
 

Добрый день.

Есть 2 офиса связанные по VPN каналу между DI-804HV в филиале и DFL-210 в центральном офисе.
IP: DI-804HV 192.168.157.254
IP: DFL-210 192.168.155.1

В филиале внутренняя сеть 192.168.2.0/24
В центральном офисе внутренняя сеть 192.168.1.0/24


на границе внутренней сети филиала стоит фаервол с ISA2006 (2 сетевых интерфейса: 192.168.2.100 внутренняя сеть, 192.168. 157.2 внешняя сеть к DI-804HV)
и
на границе внутренней сети центрального офиса стоит фаервол с TMG2010 (2 сетевых интерфейса: 192.168.1.1 внутренняя сеть, 192.168. 155.2 внешняя сеть к DFL-210) на филиале

VPN DFL-210(192.168.155.0/24) в DI-804HV(192.168.157.0/24) и наоборот работает исключительно в обе стороны. Тоесть граничные фаерволы видят друг друга по внешних IP сетевых карт (пинг и все разрешенное с ISA2006 на TMG проходить по внешних IP без каких либо проблем, ping на 192.168.157.2 с 192.168.155.2 и наоборот Ответ от 192.168.157.2: число байт=32 время=64мс TTL=126), также пинг идет с внутренней сети центрального офиса 192.168.1.0/24 в сеть 192.168.157.0/24 (внешняя сеть к VPN тунелю филиала), и наоборот с с внутренней сети филиала 192.168.2.0/24 в сеть 192.168.155.0/24 (внешняя сеть к VPN центрального офиса).
Суть вопроса: Как получить доступ к внутренней сети филиала с внутренней сети центрального офиса и наоборот?

Тоесть пинг с 192.168.1.Х на 192.168.2.Х и наоборот.
Ошибка при прописке маршрута на ISA2006(филиал) : route -p add 192.168.1.0 mask 255.255.255.0 192.168.155.2
Сбой добавления маршрута: Либо индекс интерфейса указан неверно, либо шлюз не лежит в той же подсети, что и данный интерфейс. Проверьте таблицу IP-адресов этого компьютера.

Та же ситуация и в центральном офисе.
Как заставить идти во внутреннюю сеть центрального офиса через 192.168.155.2 , и на внутреннюю филиала через 192.168.157.2

Подозреваю, что ISA и TMG настроены в режиме NAT, т.о. весь трафик, покидающий защищаемые сети проходит трансляцию адресов, т.о. сеть 192.168.2.0 никогда не увидит сеть 192.168.1.0.
Варианты решения:
1) TMG - публикация не-web серверов;
2) Уберите VPN Dlinka и настройте site-to-site VPN между ISA и TMG.

В текущей конфигурации даже если Вы настроете маршрутизацию вместо NAT для прохождения через TMG на адреса удаленной сети, то вероятно столкнетесь с проблемой, когда настройка VPN Dlinka не будет заворачивать трафик предназначенной для удаленной сети в канал VPN. Это обусловлено тем, что обычно (не помню про методику VPN у DLink) настройка site-to-site предполагает указание локального сайта и удаленного сайтов способом адрес+маска; в важем случае скрестить 192.168.1.0\24 и 192.168.155.0\24 в одну подсеть не получится.

Вариант N 2, очевидно, предпочтителен :)

а можно подробнее как сделать в 1-м варианте, 2-й вариант намного проще, но хотелось бы первый, раз по нему пошли :help:

вопрос - проходит ли пинг с одного маршрутизатора на внутренний адрес другого?
Если "да", значит нужно просто прописать на клиентах маршруты, указав внутренний IP "своего" маршрутизатора шлюзом для другой сети. Прописывать одновременно нужно на обоих клиентах - иначе пинг обратно вернуться не сможет.
Проще всего маршруты раздать с DHCP-сервера

вопрос - проходит ли пинг с одного маршрутизатора на внутренний адрес другого?
нет, пинги губяться.

Пинги проходять с DFL-210 на внутренний адрес центрального офиса, но не на филиал, также и на филиале видит свою внутреннюю.

Да но если не идет ответка я могу на ISA или TMG посмотреть пришёл ли запрос !