VPN IPSec между тремя офисами.
 

Добрый день!
Есть три офиса:
1. Центральный Dlink dfl 260 e под сеть: 192.168.77.0/24
2. Доп.офис. Cisco RV042 под сеть: 192.168.1.0/24
3. Доп офис. Zyxel usg 20 w под сеть: 192.168.200.0/24

Два доп.офиса соединенны с центральным IPSec.

Вопрос: Как прописать политики чтобы все офисы могли видеть друг друга. На данный момент полный контакт только пара центральный+доп.офис. Из 200.0/24 допустим не проходит пинг в 1.0/24 и наоборот. Понимаю что нужно прописать политики до удаленных под сетей, но не знаю как это сделать на Zyxel и cisco. На zyxel нельзя сослаться на группу удаленных сетей, а в Cisco вообще нет групп,ну или я просто не знаю где они.

вариантов решения два.
первый: (простой)
поднять туннель между доп.офисами.
второй: (сложнее)
прогонять траффик транзитом.
для этого вам нужно добавить доп.сети в существующие IPsec туннели и в правила FW.
ничего сверхсложного в этом нет, нужно лишь разобраться в правилах на ваших железяках.

На счет первого варианта тоже думали, но возникает вопрос: не закольцуется ли сеть? Ведь каждый будет знать обо всех...Или я ошибаюсь?
На счет второго,как раз то я и понимаю что нужно прописать удаленные под сети в туннелях,но вот как я бы и хотел узнать. Zyxel пока молчат,думаю что-то может родят. Если есть опыт в настройке Cisco?Потому что там кроме range и subnet ничего не прописать в туннель, причем только одну под сеть. На Zyxel есть вариант создать удаленные под сети в группу,но засунуть в туннель их тоже нельзя(

о каком кольце вы говорите? :)
бегло проглядела документацию от RV042 - там как-то печально.
можно конечно попытаться править конфиг руками (выгрузить-исправить-загрузить), но ИМХО это пустое.
сделайте туннель между доп.офисами и всё.

Да,на счет RV042 согласен.все печально.
На счет первого варианта, если все хорошо, будет ли работать АТС? Из-за чего вся катавасия началась, доп. офисы не слышат друг друга. Если я прокину туннель между доп. офисами, не придется ли снова плясать с бубном, чтобы они смогли говорить по внутренним телефонам?АТС находится в центральной под сети.

Сами мы все это и настраивали))
Кстати сделал тестовый еще один туннель между доп.офисами, по умолчанию под сети не видят друг друга(хотя очень странно по умолчанию должны быть стандартные маршруты,ведь это IPSec).
Спасибо за помощь, буду дальше ковырять,если все налажу напишу в тему.

Сделал по Вашему наставлению соединил все по первому варианту. Добавил два маршрута на Zyxel в центральный и второй доп.офис. На Cisco просто поднял туннель и больше ничего,она автоматом привинтилась. Телефоны работают,все гуд!Еще подумаю над транзитом, т.к. в случае с большим количеством офисов, таким способом будет проблематично соединять.Спасибо!

у нормальных вендоров (Cisco, Juniper) есть варианты реализации таких схем просто и удобно.
у Cisco это DMVPN, у Juniper это AutoVPN и какие-то извраты.
впрочем, должна отметить, что DMVPN заруливает, а у Junos это какие-то полуадовые костыли.
ну и нужно понимать, что у вас не Cisco, а Linksys, что совсем не то, да и не циска это вообще, в классическом понимании этого термина ;)

Даааа)В нормальной Cisco я бы не на шаг не сдвинулся,т.к. с консолью не очень дружу)