Есть центральный офис и удаленная площадка. Нужно настроить хождение трафика из локальной сети площадки через маршрутизатор центрального офиса.
На основной площадке стоит DFL-860e, на дополнительной площадке DFL-260e.
Тема заворачивания default маршрута в туннель Неоднократно поднималась на форуме, но полного решения оформленного в сжатую инструкцию я не видел.
Чтобы завернуть трафик будем использовать Policy Based Routing. Создадим правило для выделения локального трафика и отдельную таблицу маршрутизации,
которая будет к нему применяться.
Ниже изложу на как это делается.
Работоспособный туннель у нас уже есть.
Настройки:
Центральный офис (DFL-860e)
1. Настройка IPSEC туннеляIntrefaces > IPsec > ipsec_tunnel
Local network = all-nets
2. Настройка правил для IPSEC туннеляPolicies> Firewalling> Main IP Rules> (IPSEC_TUN_rules) Настройки правил для туннеля
# Name SrcIf SrcNet DestIf DestNet Service
1 lan_2_remote lan lannet IPSEC remote_net all_services для трафика из основной площадки на удаленную
2 remote_2_lan IPSEC remote_net lan lannet all_services для трафика из удаленной площадки на основную
3 drop_smb-all IPSEC remote_net wan all-nets smb-all
4 allow_ping-outbound IPSEC remote_net wan all-nets ping-outbound SRC:NAT заворачивание трафика из удаленной площадки на NAT
5 allow_ftp-passthrough IPSEC remote_net wan all-nets ftp-passthrough SRC:NAT заворачивание трафика из удаленной площадки на NAT
6 allow_standard IPSEC remote_net wan all-nets all_tcpudp SRC:NAT заворачивание трафика из удаленной площадки на NAT
Удаленная площадка (DFL-260e)
1. Настройка IPSEC туннеля.Interfaces > IPsec > ipsec_tunnel
Remote network = all-nets
Advanced > Add route statically> uncheck box
Важно! убрать галку. Маршрут в туннель добавляется позже, настройкой Policy Based Routing.
2. Настройка правил для IPSEC туннеля.Policies> Firewalling> Main IP Rules> (IPSEC_TUN_rules)
# Name SrcIf SrcNet DestIf DestNet Service
1 lan_2_remote lan lannet IPSEC remote_net all_services для трафика из удаленной площадки на основную
2 remote_2_lan IPSEC remote_net lan lannet all_services для трафика из основной площадки на удаленную
3. Настройка Policy Based Routing. Нужно добавить отдельную таблицу маршрутизации и правило для локального трафика удаленной площадки, чтобы трафик заворачивался в туннель на маршрутизатор центрального офиса.
3.1 Создание таблицыNetwork>Roting>Static Routes>Routing Tables>(Routes_2_main_site)
Указать при создании таблицы Routes_2_main_site настройку Ordering -
Only# interface Network Gateway
1 lan lannet обязательно, маршрут для локальной сети
2 IPSEC all-nets <ip_gateway_on_main_site> обязательно, маршрут по умолчанию через шлюз центрального офиса
3.2 Создание правила позволит для указанного в правиле трафика использовать отдельную таблицу маршрутизации.
Network>Routing>Static Routes>Policy-based Routing Rules>(rule_4_main_site_gw)
Name:rule_4_main_site_gw
Forward routing table:Routes_2_main_site
Return routing table:Routes_2_main_site
Service:all_services
Interface Network
lan lannet
any all-nets
После указанных настроек, у нас сохраниться функционирующий туннель, а трафик из локальной сети площадки в интернет ходит через центральный офис.
Написать инструкцию побудила тема "Настроить маршрут на NAT через IPSec тунель на DFL800" и прочие подобные.
viewtopic.php?f=3&t=151828&start=15&hilit=default+route+ipsec