поднят vpn между двумя DI-808hv, все работает, но citrix (metaframe xp fr3 sp4), ферму приложений сквозь vpn не видит, хотя просто подключение к терм серверу через vpn - без проблем

по адресам расклад такой
192.168.4.0 - сетка с citrix клиентом
192.168.5.0 - сетка с терм сервером

citrix клиент по природе своей должен видеть ферму (сервер) через udp 1604, и все должно проскакивать без всяких настроек маршрутизации, broadcast включен на обоих DI-808

в citrix клиенте ферма прописана принудительно через server location

я просниферил сервер и клиента, получается интересный момент - клиент посылает пакет на сервер, он туда доходит, сервер дает ответ, он до клиента тоже доходит, а потом клиент посылает пакет не на сервер 192.168.5.sss, а почемуто на другую подсетку 192.168.0.sss
чем это объяснить не знаю, то ли какая-то особеность автоматической маршрутизации 808-го, то ли глюк citrix клиента, (но при огранизации такойже схемы пдключения к цитриксу через другие железяки - dfl-200-внутренний vpn сервер с локальной базой пользователей-подкл с win xp, все работало - ферму клиент видел, правда там была возможность ручной маршрутизации на vpn интерфейсе )

если кто сталкивался с подобным подскажите плиз?

начнём с того что маршрутизировать в ipsec нельзя по причине присутствия SPD.
Ответ формирует клиент, мне кажется нужно разбиратся с ним почему он так делает.
ВОобще туннель работоспособен?

туннель работоспособен, сеть видна, пингуется, в логах все как положено, никаких ругательств при подъеме канала нет, и при попытке поиска фермы тоже ничего в логах не отображается

в локалке то работает этот клиент, почему он через vpn чудит вдруг?

я так понимаю - при настройке канала между двумя 808-ми сеть должна получиться полностью прозрачна и никаких пробросов портов и роутинга настраивать не надо?

Нет не нужно.
Тут корень проблемы, что !клиент! отвечает нетуда.

вроде нашел корень
оказывается в citrix-е есть специальная команд - altaddr
которая управляет внешним IP который выдается клиенту обратившемуся к опубликованному приложению, расположенному за NAT
попробую только завтра, если получиться - тему можно будет поместить в FAQ

Было бы отлично!
Заранее спасибо!

да! это было оно
занчит так:
для того что бы бегали опубликованые приложения через vpn между 808-ми (804-ми), надо
1. выполнить команду altaddr /set ip_server, причем ip_server - это внешний ip адрес старшего ica браузера, долго думал каким он должен быть при соединении сетей через vpn-ipseq, оказалось - тот же самый, что и просто сервера, при простом nat - без vpn это был бы внешний адрес ната за которым стоит сервер

2. также на сервере в консоли управления цитрикса поправил в свойствах фермы параметр zones, там сохранилась зона от первоначальной настройки, поэтому наверное слались пакеты от клиента не в ту сеть (но насколько это на самом деле критично не знаю)

2. в настройках клиента принудительно задать server location при поиске find new application set, причем в окошке firewall обязательно поставить галку use alternate address fo firewall connection