YuriAM писал(а):
vgo писал(а):
Два интерфейса, оба с полным доступом. На каждом сделан дополнительный адрес. PBR нет. Все 4 адреса пингуются с адреса в инете, не принадлежащего сетям интерфейсов.
Так есть.
Наверняка этому есть логическое объяснение. Но в данном контексте не стоит на этом циклиться.
vgo писал(а):
Маршрут прохождения ответных пакетов восстановить не представляется возможным, но очень вероятно, что ответ на пинг wan1 возвращается с wan2 через wan2_gw.
Для IP это вроде не криминал.
Но DFL так не делает. Опять же, ответ выше по тексту.
Все-таки хотелось бы понять, как DFL делает.
Конкретно: есть два интерфейса wan1 и wan2, на каждом, разумеется, свои адрес, сеть и дефолтовый шлюз. Обоим запрещено передавать свой дефолтовый шлюз в routing table main, руками туда прописан только дефолтовый маршрут wan1_gw. На обоих wan адресах разрешены пинги и оба успешно пингуются издалека (т.е. со внешнего адреса, не принадлежащего сетям wan1 и wan2).
Вопрос: как маршрутизируются ответные пакеты от wan2 и, если не через wan1_gw, то почему? А если через wan1_gw, то что именно "DFL так не делает".
YuriAM писал(а):
vgo писал(а):
Здесь речь вовсе не о навешивании доп. адресов, а о публикации порта. Не работает у меня публикация, когда используется core, получается только с any.
Потому я и советую навесить адреса должным образом, чтобы все настройки работали как обычно. Без any.
Спасибо. Здесь Вы были совершенно правы.
YuriAM писал(а):
vgo писал(а):
Опишу понятнее.
Есть DFL с внешним адресом A, у нее lan и wan интерфейсы. Есть удаленный маршрутизатор с адресом B, на каком-то порту у него открыт сервис C.
Клиент из-под маршрутизатора B подключается по L2TP к DFL.
Другой клиент, из lan DFL, хочет воспользоваться сервисом C.
Но его трафик запихивается в IPSEC туннель, поэтому облом.
В моем эксперименте вместо доступа к сервису был простой пинг адреса B и оно не работало, пока установлен L2TP.
Вроде понял. Опять же это можно решить через PBR, сделанного для сервиса С на адресе В. Не шибко красиво - этакий маленький костыль получится.
А вот здесь я поспорю. ))
Я, похоже, нашел как избежать блокировки обоих видов трафика при установлении L2TP VPN с адреса B: и входящего с B на другие сервисы DFL, и исходящего из lan трафика к B.
Предлагаю решение для обсуждения.
Прежде всего, речь здесь НЕ идет о двух интерфейсах и дополнительных адресах на DFL. Мы работаем с одним интерфейсом wan и с одним адресом DFL wan_ip.
Никакие ранее обсуждавшиеся PBR не нужны, требуется только одно PBR, которое будет описано дальше.
1. Настраиваем L2TP/IPSEC VPN
2. В настройках IPSEC снимаем галку Routing - Dynamically add route to the remote network when a tunnel is established
3. Делаем дополнительную таблицу маршрутизации L2TP из двух строк (Only, ставим галку Remove Interface IP Routes):
lan, lannet
ipsec, allnets
4. Делаем правило FRT=main, RRT=L2TP, all services, Source=ipsec, allnets dest=core, wan_ip
Собственно, все. Вроде, работает.
Это, конечно, не окончательное решение, а рабочий макет. Я не уверен, что все настройки тут необходимы и оптимальны.
Хотелось бы узнать Ваше мнение.