Всем доброго дня. Имеем головной офис с cisco и публичным ip, а также с внутренней сетью провайдера ip 192.168.100.10. Интернет в филиалы предоставляется через головной офис через ipsec-туннели. Филиал fedora ipsec racoon ip-адрес с внутренней сетью провайдера 192.168.100.11 и локальной подсетью 192.168.202.0.

Задача: В филиале необходимо организовать wi-fi интернет для клиентов на D-link DWL-2100AP, но чтобы они не имели доступа в локальные подсети предприятия. Как сделать это с наименьшими затратами, просто и надежно?

Мои варианты: 1. Подцепить еще одну сетевую карту на шлюз в филиале с выдачей адресов существующей подсети. Резать файрволом неразрешенные ip-адреса и направления на этом интерфейсе. Возможно приоритет маршрутов организовать. 2. Создать еще одну подсеть 192.168.203.0 на новом интерфейсе и отправить ее тоже в туннель, но разрешить на шлюзе и cisco выход только в интернет. racoon.conf sainfo address 192.168.202.0/24 any address 0.0.0.0/0 any - текущее и добавить что-нибудь типа sainfo address 192.168.203.0/24 any address 0.0.0.0/0 any

P.S. Возможно ли организовать 2 вариант любым способом, т.к. он представляется наиболее интересным?

Привет всем. Есть вопрос по организации сети: Как лучше всего выпускать в инет филиалы, если провайдер выделит белый ip только в офисе, а в филиалах серые ip. Интернет<-->Офис-белый ip(ipsec,gre-tunnel)<-->(ipsec,gre-tunnel) Филиал. Сквид, например, хоть и пускает в интернет, не пускает в почту, и другие порты наружу недоступны будут. Чтобы получить белый ip-адрес для филиала нужны большие финансовые затраты, точнее провайдер предлагает ip-адрес только для тарифов с абонентской платой от 5 т.р. ОС Debian. openswan(или gre-tunnel), iptables

Выпускать филиал из под второго NAT вроде не лучшая мысль. Почитал про socks, но надеюсь найти лучшие варианты. Есть более лучшие технологии, желательно прозрачные для пользователей(настройка только на сервере)?

.