Добрый день!

Есть 2 офиса, в каждом DFL-860E Firmware Version: 2.27.08.04-22685, поднят VPN канал, всё работает.
Появилась задача завернуть rdp трафик, идущий в удаленную сеть, через другой шлюз.
Создал ещё одну таблицу маршрутизации, параметр Ordering = First.
В маршруте указал, что в удалённую сеть ходить через определённый шлюз.
Создал Routing Rules, где указано, что для трафика rdp использовать альтернативную таблицу маршрутизации.
Но rdp не заворачивается.
Подскажите, пожалуйста, что я сделал не так и в каком направлении копать?

1. подробнее про rdp трафик. куда и через что он идет сейчас? куда и через что он должен идти?
2. какой именно VPN канал? он между локальными сетями офисов?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1. rdp сейчас идёт через VPN IPSec, который поднять на DFL, напрямую в удаленную сеть. Должен идти в удаленную сеть, но через другой шлюз (отдельно стоящая железка). Остальной трафик должен идти в удаленную сеть через DFL.
2. VPN IPSec между локальными сетями офисов. Поднят на DFL-860E.

Уточните, где именно стоит железка, в какой сети.

Вы же сам должны понимать какие данные важны.
Лучше распишите все подробно по сетевой части насчет rdp и его желательного пути.
Или можете нарисовать содержательную схемку.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1-ый офис: сеть 192.168.3.0/24, DFL - IP: 192.168.3.55, шлюз, через который должен идти rdp - IP: 192.168.3.44

2-ой офис: сеть 192.168.11.0/24, DFL - IP: 192.168.11.10, шлюз, через который должен идти rdp - IP: 192.168.11.14

доп. шлюзы - это VipNet Coordinator HW1000, которые шифруют трафик по ГОСТу и между ними поднят свой VPN канал. Т. е. сейчас внутри VPN канала между DFL, поднят VPN канал между HW1000.

если на клиентах прописать статический маршрут в удаленную сеть через HW1000, то весь трафик пойдет по зашифрованному каналу, но мне нужно чтобы только rdp по нему шел.

Посидел. Минуту подумал. Пока не придумал, как сделать.

Если это не опечатка, то что?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Упс... ошибся... не исправил скопированное, исправляюсь

2-ый офис: сеть 192.168.11.0/24, DFL - IP: 192.168.11.10, шлюз, через который должен идти rdp - IP: 192.168.11.14

Еще посидел, подумал. Появились сомнения, что это вообще реализуемо в такой постановке.

В более раннем посте еще поправьте.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

печально

У вас односторонняя связь по rdp?
Или в обе стороны - т.е. в каждом офисе есть объекты для доступа по rdp?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

вообще довольно странное требование - только rdp трафик шифровать между локальными сетями

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

а если попробовать отделить при помощи
http://www.dlink.ru/ru/faq/85/758.html
сам трафик RDP, и его завернуть именно на шлюз . но с правилом не NAT а как он там форвард фаст . должно по идеи получится . но по идеи

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

в каждом офисе есть объекты для доступа по rdp

согласен, что странное, но...

Легче завернуть весь tcp трафик таким образом? или не получится?

Довольно странное требование - только rdp трафик шифровать между локальными сетями.
1. Можете пояснить мотивы такого требования?

Есть вариант решения. В связи с этим еще 2 вопроса:

2. ваши VPN ГОСТ шлюзы VipNet Coordinator HW1000 имеют 2 сетевых интерфейса?
3. объекты для доступа по rdp имеют какие IP адреса?

Вариант, собственно, состоит в том, чтобы выделить объекты для rdp доступа в отдельные подсети и подключить их к DFL через ваши шлюзы VipNet.

Судя по характеристикам этих шлюзов, проще весь VPN трафик пускать через них - им будет не в тягость.

Вообще, DFL-и кажутся здесь лишними. Все можно сделать через эти шлюзы.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

пояснить мотивы не могу, ибо сам не получил внятного объяснения по этому вопросу.

если проще весь трафик через VipNet запустить и при этом прописать маршрут только на DFL - как? - не хочется статические маршруты на клиентах прописывать (хоть и прописать всего-то на DHCP-сервере)

DFL-ки были бы лишние, если бы VipNet-ы умели автоматически переключаться на резервный канал при падении основного, а они этого не умеют, увы...