Ситуация такая. Есть LAN сеть 192.168.17.0/24. Дефолтный шлюз в ней - машина на софтовом файрволе на базе линя 192.168.17.40. Для ВПН отдельно стоит 260Е 192.168.17.30. Поднимает IPSEC туннель с 192.168.20.0/24. Дабы не писать на всей локалке маршруты для каждого устройства, на дефолтном шлюзе создан маршрут типа route 192.168.20.0/24 gate 192.168.17.30. Естественно, созданы разрешающие правила для all_tcp_udp_icmp на обоих сторонах туннелей. Пингуется все просто здорово с локальных компов в ВПН сети, но - при попытках доступа к оборудованию в ВПН сетке, например по ТСР80 - хрена лысого. Как только локальное устройство получает маршрут route 192.168.20.0/24 gate 192.168.17.30 (то есть минуя дефолтный шлюз) все становится просто прекрасно. Я так понимаю, что я где-то накосил, но любые танцы с бубнами не приводят к желаемому, то есть к работе через дефолтный шлюз. Скорее всего 192.168.17.30 пытается отдать обратные пакеты напрямую, минуя 17.40. Я так понимаю, что нужно создать альтернативную таблицу маршрутизации для обратных пакетов с ВПН сегмента 192.168.20.0/24 на шлюз 192.168.17.40, но не могу всосать принципов такового, пока - что не делал, без толку. Или это нереально??

Дам любую нужную инфу, только скажите где копать.

Странно. У меня такие варианты работали, правда, там дефолтовым маршрутизатором был Windows, и вместо DFL было другое устройство. Более того, система сама "спрямляла" маршрут, т.е., через какое-то время локальные компы начинали посылать пакеты прямо на дополнительный шлюз.

И никого не должно бы волновать, что обратные пакеты идут напрямую.

Я так подозреваю, что линукс у Вас не маршрутизирует пакеты. Вообще-то режим маршрутизации между интерфейсами в Линукс включается где-то особо, вероятно, и тот режим, который Вам нужен, включается там же или где-то рядом.

Или DFL настолько бдительный, что его смущает несовпадение MAC адресов для одного и того же IP адреса? Ну это я сомневаюсь, однако...

Именно так. Работали в связке Win Server 2003 + Kerio Winroute и 804 маршрутизатор на ВПН.

Сейчас связка немного другая с прописанными маршрутами виртуальная машина Kerio Control VMWare подлиневая и DFL-260E. Самое удивительное в том, что пинг-то до ВПН устройств идет просто на ура, а вот остальное - болт. Причем в логе Керио я вижу пакет с запросом на соединение и далее - тишина. Уже сломал всю голову, не могу понять никак чего оно еще хочет?? Дело-то в том, что на Керио два интерфейса - инет и лан. И вот для лана указан маршрут вида "если пакет для сети 192.168.20.0/24 то отправить на шлюз 192.168.17.30" и все.

Ну тогда лично я посмотрел бы, уходят ли с линукса перемаршрутизированные пакеты или нет. И отсюда бы плясал.
Вероятно, это может показать tcpdump или отдельная машина со снифером. Я для этого держу ноут с Wireshark'ом и маленький управляемый свитч от Микротика (дешевый, легкий, компактный) - чтобы зеркалил порт.

И все-таки первое подозрение - на линукс и все, что там наворочено. Какой там софт для обеспечения выхода в интернет? Его не надо подкрутить, чтобы не загребал себе лишнего? Различие в поведении ICMP и UDP/TCP как бы намекает.

Кстати, видимо, можно же и на DFL посмотреть, доходят ли до него эти пакеты. Если сделать, чтобы там они дропались и писались в лог, а не запихивались в туннель.

В логе длинка четко видно, что и запрос и ответ на него проходят, но! напрямую на источник в локалке, без маршрутизации. В логе линя видно что пакет уходит, но именно один и именно с редиректом. Соответственно, я так понимаю, источником "спрямленные" пакеты не принимаются - он ждет ответов от шлюза.

Вопрос закрыт, проблема решена, ни длинк, ни шлюз на лине здесь не причем. Иногда следует включать голову и думать масштабней.

Было бы логично ожидать, что вы напишите решение.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Что цинично - рассмотрение доки на DFL навело на мысль, что оно действительно может контролировать соответствие IP и MAC адресов. (((

Я, однако, ничего не утверждаю

можно сделать привязку IP к MAC

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.