Приветствую!

Есть локальная сеть, пусть это будет 192.168.0.0/24, шлюз по умолчанию 192.168.0.1, Есть сегмент интернет, пусть это будет 192.168.200.0/24, шлюз 192.168.200.1. В реальности, естественно, адреса другие, wan интерфейс непосредственно подключен к интернет и из интернет доступен.
Есть несколько удаленных офисов, которые устанавливают IPSEC туннели до устройства (DFL-210). Адрес DFL-210 на локальной сети - 192.168.0.20. Клиенты получают именно этот адрес в качестве шлюза по умолчанию.
Необходимо на DFL-210 реализовать следующее:
1. Для клиентов из локальной сети отбрасывать весь трафик, который не направлен в один из удаленных офисов на 192.168.0.1, остальное - через соответствующий туннель.
2. Для клиентов, которые находятся в удаленных офисах - перенаправлять все на 192.168.0.1.
3. Для интерфейса WAN - весь трафик должен уходить на 192.168.200.1, т.е. на шлюз по умолчанию сегмента интернет.
Получается, на первый взгляд, что и у интерфейса LAN и у интерфейса WAN должны быть определены шлюзы по умолчанию. Но так работать отказывается...
Возможно ли это реализовать в принципе? Если да, то как?
Ни шлюз на локальной сети, ни интернетовский мне недоступны, конфигурировать их я не могу.

зачем вам два шлюза в локалке ?
какие задачи решает каждый из них ?
подробно плиз

В локалке для пользователей один шлюз .20. Он должен перенаправлять так, как указано в исходном сообщении. Так нужно из-за того, что к некоторым приложениям люди ходят в интернет через NAT, который сконфигурирован на 192.168.0.20.

для чего нужен шлюз 0.1 ?

Не очень понятно. У вас на WAN подключен еще один сегмент локалки? 192.168.200.0/24? И надо перенаправлять все на 200.1 по дефолту?

Не вижу проблемы, укажывайте его гейтвеем, включайте дефолт роут на него.

Если не рабоает, покажите ваши Status-Routes

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Шлюз 0.1 нужен для связи с общекорпоративной сетью. Беда в том, что пользователи ходят в интернет через корпоративный прокси, который находится не в нашей сети и доступен только через шлюз 0.1. При этом часть приложений размещена в интернете, но аутентификация проводится на основе учетных записей домена. И делается это где-то на корпоративной сети за пределами моей локалки. Поэтому пользовательский трафик должен пробрасываться через 0.1. Самое простое - назначить маршрутизатору 0.20 шлюз про умолчанию на 0.1, но тогда трафик, который должен уходить в интернет (в особенности, IPSEC), развернется в сторону локалки и туннели упадут...
ожно, конечно, поставить еще один DFL-210, но его нет и денег на него жалко...

айпишники этих приложений фиксированные ?

Да, сейчас на них статикой и прописано. Только это неудобно, и их периодически добавляют, меняют...
Можно, конечно, статически маршруты прописать в сторону удаленных офисов, чтобы работали IPSEC туннели, но это тоже криво... Просто были планы с той стороны еще и VPN пользователей прикрутить в будущем, а у них адреса наперед неизвестны.

мануал, глава 4.3, читали ?

Я не понимаю, мы тут для поговорить собрались? Извините, я не могу ответить по-русски, дети ведь могут читать.

Читали. Поэтому и вопросы задаем. Если есть что сказать по делу - welcome, нет - в противоположном направлении ...

по вашим вопросам трудно понять, читали вы мануал или нет.
на мой взгляд, вам нужно настроить PBR в контексте Service-based Routing, но готовой работающей конфы для вашего случая у меня нет

Да вот и не получается почему-то через policy based routing. Именно в этом направлении я и копался...

Не понятны ваши требования. Нарисуйте схему и объясните по ней.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Как ее здесь прицепить?

Прицепите на внешний фото (только нормальный) или просто хостинг

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc