Коллеги, вроде задача очень простая, но опыта с 860ми не много - прошу помощи.

Есть следующая рабочая схема:
NET1(192.168.10.x) -> DFL860e -> IPSEC-VPN (Internet) <- DFL860e <- NET2 (192.168.11.x)

Задача:
Необходимо чтобы клиент из сети NET1 выходил в интернет через шлюз ВТОРОЙ сети!

Решается ли задача только роутами без правил ибо уже есть IPSEC-VPN, в который нужно зарулить не только внутрисетевой трафик, но и внешний для этого клиента? Или ещё нужно что-то доруливать правилами?

Роуты и правила . Возмржно придется и туннель перенастраивать . Подобная тема висит рядом . Раздутая на три страницы .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Именно поэтому и написал, что тем подобных много, экспериментов по времени уже достаточно, вернул все конфигурации на бэкапные и решил спросить профессионалов для детального понятного разъяснения по пунктам: какой дефолтовый шлюз должен быть на клиенте в первой сети, какие маршруты на каких дфл-ках должны быть с каким приоритетом, на какие интерфейсы в этом случае вешать правила доступа (про сами правила вопросов нет).

Пишу в очередной раз !

надо :
переподнять туннель с параметрами Allnets (писал не однократно как это сделать )

если заворачивать весь интернет в сторону другой сети , то делате маршрут через интерфейс IPSec . меньший чем основной маршрут .
далее два правила
Allow lan\lan-net Ipsec\all-nets all servise
allow Ipsec\all-nets lan\lan-net all servise

на удаленнной стороне
Nat ipsec\all-nets wan\all-nets all- service

типа все .

Не забываем про доступность DNS серверов из сети за Ipsec.
или делать соответсвующий релей или прописывать внешний DNS, но и про паравила для DNS тоже не забываем .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вооооттт, уже что-то проясняется. Но по такой схеме, как я понял, получается что либо это будет для всех завёрнут интернет, либо ни для кого. А если это нужно для одного клиента?
И про переподнятие туннеля можно ссылку? В принципе наверное догадываюсь (пробовал создавать две ланнет на первом дфл, объединять в группу и делать как бы туннель для этой группы, но возможно я был не прав).

все очень просто , для старта лучше изучить .
viewtopic.php?f=3&t=93443
надеюсь понятно что для дфл просто интерфейсы , и он не знает физический он или логический ?
также полезно
viewtopic.php?f=3&t=166824&p=912193&hilit=%D0%BF%D0%B5%D1%80%D0%B5%D0%BF%D0%BE%D0%B4%D0%BD%D1%8F%D1%82%D1%8C#p912267

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Просто маршрутов недостаточно.

При установки тоннелей DFL, устанавливаются так называемые SA, и именно в пределах этих SA DFL позволяет проходить трафику. Например между вашими сетями устанавливается SA на сеть 192.168.10.0/24 <--> 192.168.11.0/24 и никуда кроме этих сетей DFL не пустит трафик, даже при добавлении маршрутов или правил.

При all-nets вы формируете SA на сеть 192.168.10.0/24 <-->0.0.0.0/0 и теперь достаточно маршрутов и правил, для трафика.

Если вам не надо заворачивать ВСЕ хосты. Настройте IPSec с all-nets, но выключите автоматическое формирование маршрута. С формируйте маршрут на удаленную сеть вручную, а к all-nets отправляйте по PBR.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.