Через поиск не нашел, ибо поиск игнорит мои ключевые слова.

Если локалка в городе С за dfl-860e. У меня есть pptp-сервер в городе Т.
Вопрос, можно ли dfl-860 настроить так, чтобы он подключался vpn-клиентом до сервера в городе Т и заворачивал весь(http/https) трафик пользователя А через созданный vpn-туннель.
Проще говоря надо чтобы мой пользоватль А выходил в инет только через IP города Т, используя удаленный vpn-сервер и имеющуюся в офисе железку.
Если можно, то как это сделать?

А где находится пользователь А ?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

в городе С

С pptp не пробовал. А вот с ipsec точно получится . Хотя если прикинуть то и с пптп должно прокатить.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

По сути, это ничем не отличается от подключения к Билайну.
Ищите по форуму мою тему со словами DFL и Билайн.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Только в правилах из lan через wan нужно разрешить только pptp_ip, а весь трафик разрешить через интерфейс pptp

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Так, возможно упустил одну деталь, напишу более ясно. Моя ситуация это не выйти в инет через провайдера использующего pptp.
У меня есть сетка с юзерами в городе С, они все используют dfl860 со статичным айпи города С, через который выходят в инет. Малого того у них есть еще и балансировка так подключено 2 провайдера.
Но вот в сети есть один специфичный клиент работу которого надо организовать так чтобы он работал как бы из города Т. Чтобы на всех сайтах светился айпи города Т. Но все остальные работают при этом по прежней схеме.
И вот что мне нужно сделать для этого?
В секции pptp\l2tp-client я создал подключение до моего pptp-сервера в городе Т, автоматом заметил что в routing tables добавился маршрут с названием этого pptp-интерфейса и пустым гейтвеем и метрикой 90.
Это соединение даже established в мониторинге. Хотя в процессе настройке оно у меня было established без включенной авторизации, хотя такого и не должно быть, ну да ладно.
Вот вопрос по части настройки vpn-туннеля. Для подключения через виндовый пптп-клиент я использую только один параметрт - это ip pptp-сервера. Гейтвей и местный айпи выдает пптп-сервер.
В настройках на моей железке есть Remote Network в котором хз что указывать, я поставил там all-nets как в примере выше. Хотя мое мнение ставить туда /32 надо.
Ну пптп-коннект есть. Ладно. Как проверить можно ли через него что-то пустить чтобы оно дошло?
Для моего чудесного клиента я сделал IP-правило(фаервол) разрешающее ему ходить со всех интерфесов куда угодно(так, на всякий случай, чтобы временно добиться работоспособности), хотя причем тут фаервол я хз, но настраивая dfl почти всегда нужно писать allow правила.
Далее я вижу что pptp-тунель создал маршрут.. маршрут в таблицу main через которую ходят все клиенты(маршрут без гейтвея, хз почему он не может его получить). Ну я его сразу деактивировал. Создал свою отдельную таблицу маршрутизации pptp-route в которую добавил маршрут для pptp-интерфейса который направляет трафик 0.0.0.0/0 через 95.*.*.*(гейт который выдается при подключении через виндовый-клиент).
Далее я создал Routing Rule.
1 client_via_vpn source:any source:client-ip dest:any dest:all-nets all_services
Forward routing table и Return routing table ссылаются на новую таблицу маршрутизации pptp-route.
Имею следующее.
Интернет на клиенте А отвалился. Вывод - его трафик действительно куда-то заворачивается. В логах я не вижу абсолютно ничего, ну так как конекшены не устанавливаются.
Вопрос: что не так? как мониторить\диагностировать? как реально проверить работоспособен ли pptp-туннель?

1 Между городами T и C есть поднятый нужный туннель?
2 Или вы его хотите создать только для вашего специального пользователя?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Если нет тоннеля, то проще уж создать его только на машине отдельного пользователя.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Раньше тунель создавался на машине пользователя, но вот если этот тоннель падает(а это случается часто) и пользователь этого не заметил, то он начинает выходить в инет через местный айпи города С, и грубо говоря палится. Есть еще несколько причин почему небезопасно использовать тоннель на машине клиента. Дабы это избежать, мне неоходимо чтобы dfl весь трафик этого пользователя всегда заворачивал в этот туннель, если тунель валится, то у пользователя просто нет инет, это норм и намного лучше чем выходит в инет через местный айпи.
Тунель вроде как создает dfl, в секции пптп-клиент я описал его конфу и в статусе железка пишет что тунель established. В общем осталось завернуть весь трафик этого юзера в тунель. Возможно я это сделал правильно, а просто туннель не пашет, я не знаю как это точно продиагностировать.

Вероятно, помогут скриншоты ваших настроек

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Да че там настройки? Туннель надо поднять и сделать егос алл нетс . Потом исключительно правилами либо завернуть трфик натя его в туннель . А в основных правилах этогл клиента дропать на инет вот и все. Придется правда клиента два раза натить либо разбиратся с пптр сервером на той стороне . Кто и когда бедет натить .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

вот конфиг

в IP правилах на 4м месте отNATте своего чела в туннель .
в папке LAN-toWAN1 поставте ему дроп

на удаленном конце , опять его отNATьте

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку