Приветствую,
Полагал, что такое можно сделать, однако после покупки и опробования есть затруднения:

Оборудование DSL-G804V (в удаленном офисе)
В центральном - PPTP сервер на базе Linux

Задача: удаленный офис выходит в Интернет согласно настройкам местных провайдеров. И еще должен подключиться к ЛВС центрального офиса посредством поднятия VPN тунеля.

Прикупил, опробовал G804V - отдельно выход в инет поднимается. Также дополнтельно поднимается VPN клиент (соединение осуществляется). Однако возникла проблема перенаправления трафика.
Т.е. пакеты. идущие от компьютеров удаленного офиса с местом назначения 10.0.33.0/24 должны идти через поднятый на G804V VPN тунель, а все остальное - через шлюз по умолчанию для местного провайдера интернет.
Прописывание статических маршрутов не помогает (как бы нет возможности указать, на какой интерффейс направлять трафик, только ip-адрес).
Как быть ? IPSec поднимать не хотелось бы. используется PPTP-сервер.

Да, NAT следует применять только когда выход на шлюз умолчания. При перенаправлении в VPN применять NAT не нужно.
Если за G804V поднять на компе VPN клиента - то все нормально работает, как и хочу, но хочу именно на 804V это сделать.

Заранее благодарю.

Устройство DSL-G804V, как по мне, самое лучшее из всей DSL-линейки от D-Link. Кроме шейпера (которого нет в большинстве ADSL-устройств), в нём есть аппаратный ускоритель 3DES для IPSec. Лично я бы посмотрел в сторону IPSec, т.к. в вашем случае всё для этого есть. Но даже если это и неприемлемо, то с PPTP тоже проблем быть не должно. Так или иначе без схемы и настроек маршрутизатора что-то определённое сказать трудно.

Подробнее про DSL-G804V можно прочитать здесь:
http://www.ixbt.com/comm/adsl-dlink-dsl-g804v.shtml -- часть 1: общее описание, настройки, производительность, безопасность, доступность, выводы
http://www.ixbt.com/comm/adsl-dlink-dsl-g804v_2.shtml -- часть 2: тестирование VPN-серверов и QOS-шейпинга устройства
http://www.ixbt.com/comm/adsl/dlink-dsl-g804v/interface.shtml -- скриншоты меню
http://dlink.ru/ru/faq/169/145.html -- Настройка IPSec туннеля между ADSL маршрутизаторами DSL-G804V

Пожалуйста, приведите подробную схему с указанием диапазонов IP-адресов LAN и внутри туннеля, а также настройки маршрутизатора DSL-G804V.

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.

Начну попорядку:
Есть VPN-сервер в центральном офисе на базе linux с адресом a.b.c.d (построен на базе пакета pptpd)
он выдает адрес клиенту: 10.10.0.33. Сам имеет связной адрес 10.10.0.254
внутри ЛВС: 10.0.33.0/24
Маршруты между двумя этими сетками разумеется прописаны. Проверял подключением компьютера как VPN-клиента.

В удаленном офисе: g804v. К провадеру подключается через adsl через PPPoE. Сие настраиваем на железе через WAN.
в результате поднимается интерфейс ipwan
правда провайдер дает адрес из сетки тоже 10.x.y.z , видимо потом у них NAT происходит на их железке.
в LAN на железке пишу 10.10.0.34/255.255.255.240

Затем захожу в advances VPN - выбираю PPTP как LAN-to-LAN (хотя пробовал и как Remote Access)
Выбираю адрес шлюза - a.b.c.d, пароли и явки, затем указываю peer ip network 10.0.0.0/255.0.0.0 - я так понял это для маршрутизации как раз - чтобы длинк знал, какие адреса находятся за VPN
И соб-но все...
После подключения вижу. что PPTP статус подключен.. но пакеты по трасировке посланные на 10.0.33 - идут через провайдера.
Также железка не видит даже 10.10.0.254, т.е. связной адрес VPN

Пробовал прописать стаический маршрут на эти сети - не помогло.

Не пойму логику работы железки в данном случае. Какие пакеты он направляет в VPN тунель ? Основываясь на каком правиле ?

Здесь понятно.



Это возможная проблема. Вполне возможно, что маска, которая выдаётся вместе с этим адресов перекрывает по масштабу сеть 10.0.33.0/24. Маску для 10.x.y.z вы не привели.


Настройка неверная. LAN 10.10.0.34/255.255.255.240 подразумевает сеть 10.10.0.32/28, с диапазоном адресов 10.10.0.33-10.10.0.46 и широковещательным адресом 10.10.0.47. В итоге получается, что у G804V есть 2 интерфейса, которые физически "торчат в разные стороны", но логически лежат в одной сети 10.10.0.32/28: это 10.10.0.34 (LAN) и 10.10.0.33 (PPTP).


Здесь нужно указать сеть назначения 10.0.33.0/255.255.255.0.

Итого, как бы я поступил в данной ситуации.

1. Выяснил бы, какой диапазон адресов перекрывается провайдером (10.x.y.z/???) и исключил бы эти адреса из употребления. Вполне вероятно в будущем понадобится доступ к локальной сети провайдера.

2. Исходя из п.1 выбрал бы диапазоны IP-адресов для сети центрального офиса и для удалённого, причём так, чтобы они не перекрывали друг друга. При необходимости (если провайдер накрыл весь диапазон 10.0.0.0/8) перевести сети на адреса вида 172.16.0.0 и/или 192.168.0.0. Я бы рекомендовал использовать только 192.168.0.0, т.к. некоторые провайдеры иногда для своих сетей дают адреса из 172.16.0.0. Подробнее по диапазонам приватных адресов здесь: http://www.ietf.org/rfc/rfc1918.txt.

3. Связующий IP сервера PPTP и выдаваемые его клиентам адреса, не должны попадать ни в один из указанных выше диапазонов - провайдера на стороне G804V, LAN центрального, LAN удалённого. Можно взять из диапазона 172.16.0.0, а если очередной провайдер очередного удалённого офиса и попадёт в используемый вами диапазон, то здесь места для манёвра довольно много, а реконфигурация только в одной точке - на сервере PPTP (клиенты ведь получают адреса от него).

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.

Гм, перенастрою, отпишу по результату.
Спасибо.

Перенастроил - все получилось. Проблема была в адресах на сторонах vpn тунеля, они должны быть отличны от lan на обоих удаленных сторонах .
Благодарю.