Добрый день!

Имеется DFL 860E и примерно такая сеть:
LAN - DFL - NET1(VPN)
.......... |
...........GW
.......... |
........ NET2

Есть два статичных маршрута
1) направляет пакеты определенной сети в туннель
2) все остальные пакеты на шлюз GW

И есть два правила:
1) Allow VPN
2) Allow GW

Все работает, но на GW пакеты приходят с источником DFL, т.е. DFL использует SNAT при пересылке пакетов. Можно ли что-то сделать, что бы DFL не модифицировал пакеты (не менял источник)?

покажите правила скринами

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вот все правила:

странные правила ....

рисуйте схему на бумажке и выкладывайте , в противном случае сложно понимается .
еще бы таблицу маршрутизации поглядеть .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да в общем-то все просто в схеме.
Все пакеты предназначенные для Lan 10.1.0.0/16 заворачиваются в туннель, все остальные пакеты идут на Linux GW и он уже по своим правилам должен или выпускать в интернет или запрещать, но пакеты на него приходят не от пользователя, а от DFL, т.е. DFL их натит. А надо что бы Source IP был, IP пользователя.

У Вас весь трафик попадает под правило, которое якобы для ipsec, оно и натит, как ему предписано (кстати, зачем, обычно для VPN NAT не используется). Посмотрите внимательно, что такое у Вас ipsec_group и перепишите правило так, чтобы трафик на gw под фильтр не попадал. Учтите, что правило NAT - штука одностороняя, если нужно принимать соединения со стороны туннеля, нужно SAT+Allow ("проброс порта") или отказаться от NAT.

Ух, точно, вот это я косякнул, у меня же правило Ipsec применяется к All net. Использую NAT временно, потом перейду на Allow.
Спасибо за помощь!

Возник еще один вопрос, а если на одном из Linux GW пропадает интернет, могу я кинуть весь трафик в туннель (dest. network: all nets) и что с этим трафиком сделает DFL-2? Как пройдет обработка пришедших на неё пакетов?

поднимайте туннель с параметром ALL-Nets
далее правила \маршрутизация - по вкусу .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А сначала пакеты проходят маршрутизацию, а потом правила? И в моем случае (последний скриншот) пакеты будут перенаправлены из туннеля на шлюз gw?

маршруты - правила
делайте мониторинг на маршруте

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ну тогда я вроде правильно сделал, но что-то интернет со второй DFL на первую не получаю, есть у меня подозрения что во всем виноват NAT в правилах на туннелях...

если бы сделали правильно - то работало бы
давайте не играть в шпиЁнов - и показывайте что наделали - как туннель подняли - маршруты - правила

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да тут особо и показывать нечего.
Схема сети несколькими постами выше.
А вот настройки:
DFL-1



DFL2

Теперь я хочу что бы из второй сети (10.1.0.0), пользователи ходили в интернет через Linux GW1, т.е. шли в туннель до другой DFL и оттуда уже брали интернет. Делаю такие настройки:
DFL2:



DFL1:


Остальные настройки оставляю те же.