Доброго времени суток!

Интересует следующий вопрос:
Есть 2 DFL-210 настроеные между собой по VPN обе с доступом в интернет.
Также есть компьютер за одним из длинков со статическим ИП адресом.
Реально ли сделать так чтобы этот компьютер выходил в интернет не через основной шлюз а отправлялся бы в VPN тоннель откуда уже попадал бы в интернет?

т.е. вместо обычной схемы выхода вида

компьютер -> шлюз№1 -> интернет

получилась бы

компьютер -> шлюз№1 -> vpn -> шлюз№2 -> интернет

Если это возможно, то правильно ли я понимаю что надо копаться в проброске портов на обоих шлюзах?

Для этого вам надо настроить PBR.

http://dlink.ru/ru/faq/85/576.html
viewtopic.php?t=93443

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В дополнение к PBR, вам надо со стороны DFL, через который будет выход в интернет, указать сеть all-nets и сделать маршрут на удаленную LAN сеть вручную.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ок. Если я правильно понял (хотя скорее всего неправильно) нужно сделать слудующее:
Имеем 2 Длинка со следующими параметрами:
1.
lan1 - 192.168.1.0/24
lan1_ip - 192.168.1.254
private_ip - 192.168.1.100
wan1_ip - xxx.xxx.xxx.xxx
wan1_gw - xxx.xxx.xxx.yyy

2.
lan2 - 192.168.2.0/24
lan2_ip - 192.168.2.254
wan2_ip - yyy.yyy.yyy.yyy
wan2_gw - yyy.yyy.yyy.zzz

ret - имя VPN тоннеля между сетями lan1 и lan2

Для решения задачи делаем следующее:
в Длинке №1
Создаем новую таблицу маршрутизации
DFL-210 - Routing - Routing Tables - Add

Name: Alt
Ordering: Only

Создаем новый маршрут в таблице Alt
DFL-210 - Routing - Routing Tables - Alt - Add
Interface: ret
Network: all-nets
Gateway: lan2_ip
Local IP Address: (None)
Metric: 70

Создаем правило маршрутизации
DFL-210 - Routing - Routing Rules - Add
Name: Alt_rule
Forward Table: Alt
Return Table: main
Service: all-services
Schedule: (None)

Interface Source: lan1
Network Source: private_ip

Interface Destination: wan1
Network Destination: all-nets

Создаем разрешающее правило
DFL-210 - Rules - IP Rules - Add - IP Rule
Name: user_rule
Action: NAT
Service: all-services
Schedule: (None)

Interface Source: lan
Network Source: private_ip

Interface Destination: ret
Network Destination: all-nets

Вроде как этими действиями завернули private_ip в тоннель
Далее на Длинке №2 делаем следующее:

Создаем новый маршрут в таблице Main
DFL-210 - Routing - Routing Tables - Alt - Add
Interface: ret
Network: all-nets
Gateway: lan1_ip
Local IP Address: (None)
Metric: 70

Какие-то IP правила создавать нужно?
Заранее спасибо за ответы.

В целом все верно, но...

На DFL №1 не надо шлюза в маршруте на тоннель, там есть четкий endpoint.

Далее, можно на маршрут ipsec в таблице Alt повесить мониторинг (ICMP) и изменить ordering на first у таблицы - если IPsec упадет, то у "счастливчика" интернет пойдет через штатный wan.

На DFL №2 достаточно правила NAT ipsec/remote_private_ip wan/all-nets all_services, а альтернативной таблицы в принципе там не надо.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сделал как Вы посоветовали.
В итоге на первой длинке в статусе соединений при пингах удаленных узлов пишет что-то вроде

PING ICMP lan:192.168.1.100:512 ret:195.14.50.1:512 5

Из чего получается что трафик в VPN тоннель заворачивает, в логах тамже пишется
Информация CONN
600004 Alt_rule UDP lan ret 192.168.1.100 3252 conn_open_natsat
195.14.50.1 53

На втором длинке тишина, ни статусов соединений никаких ни в логах ничего не написано. Такое ощущение что вторая длинка тупо не видит что с ней хотят общаться.
Почему такое может быть?

Вот что конкретно первая длинка пишет про ICMP запросы:
Информация CONN Alt_rule   ICMP   lan 192.168.1.100 conn_open_natsat
                     600004                          ret 195.14.50.1

conn=open connsrcid=512 conndestid=512 connnewsrcip=192.168.1.254 connnewsrcid=10867 connnewdestip=195.14.50.1 connnewdestid=10867

Пробовал создать правило на второй длинке Drop any/all-nets any/all-nets all_tcpudpicmp
и поставить его на мониторинг так тоже тихо.
Вопрос который меня мучает на какой шлюз первая длинка отправляет пакеты по нату и как это проследить?

хотелось бы узнать решение данной задачи, т.к. тоже актуально.

Если вы видите в логе запись CONN, то это значит что все нормально и у вас отрабатывает Alt_Rule. Теперь приверяйте на "принимающем" DFL, что там в Status > Connections. И покажите ваши правила, затрагивающие этот трафик скринами.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ну вот я тоже подумал что с первой длинкой все норм.

Скриншот правил на второй длинке:
в папке ret_1 находятся 3 правила допуска "из" "в" и пинги из первой подсети, они также стоят на мониторе.


В логах я вижу только заблокированный мусор от разных внешних IP на wan интерфейсе по правилу Drop_1_100
пингую я 195.14.50.1 так вот нигде в логах на второй длинке этот айпи не проскакивает. =\

И еще, раз я выхожу по нату из первлй длинки во вторую адрес должен поменяться на 192.168.1.254 правильно? Или же он меняется на внешний ИП wan интерфейса?

Вы кажется писали, что на DFL №1 у вас тоже NAT было? Так вот либо там меняйте на Allow правило для private_ip и в IPsec указывайте со стороны DFL №2 сеть all-nets, либо на DFL №2 в правиле NAT сделайте source просто ret/remote_net

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Так тоже пробовал уже.
У меня создалось впечатление что заруленные из первой длинки в тоннель пакеты с адресом отправителя 192.168.1.100 и адресом получателя 195.14.50.1 отбрасываются на каком-то этапе даже не доходя до обработки правилами.

Попробовал создать в длинке №2 правило тест Drop any/all-nets any/all-nets all_icmp и поставил его на самый верх.
Если пинговать сеть в диапазоне 192.168.2.1-192.168.2.254 то правило отрабатывает и пишет с логе дроп. Если же пингануть например 192.168.3.1 то в логе тихо хотя на Длинке №1 правило пишет

Информация CONN Alt_rule ICMP lan 192.168.1.100 conn_open
600001 ret 192.168.3.101

conn=open connsrcid=512 conndestid=512

Подозреваю что первая Длинка всеже как-то неправильно роутит.
На всякий случай выкладываю настройки роутинга:



UPD: Еще заметил что длинка№2 со старой прошивкой 2.20.01. Попробую залить на нее последнюю посмотрю что получится.
UPD2: Без изменений.

AlexeyK

решение найдено?

Нет.

на первом длинке в IPsec, что указано как удаленная сеть ?

_________________
если человек - идиот, то это надолго