Приветствую всех!
Ситуация следующая: имеется маршрутизатор D-link DFL-860e, подключенный к сети 192.168.2.0/24 через интерфейс lan и являющийся в ней шлюзом по умолчанию с IP 192.168.2.1. В этой же сети есть комп с OpenVPN-клиентом для объединения с другими сетями, его IP 192.168.2.160. Он отлично цепляется к OpenVPN-серверу, и если на любом компе из этой сети прописать маршрут до другой сети(192.168.0.0/24), где так же есть OpenVPN-клиент:

, то все прекрасно работает - все машины из 192.168.0.0/24 прекрасно пингуются и на них можно зайти по RDP, шаре и т.д.
Но планируется подключить еще сетей, и на всех машинах прописывать маршруты до всех сетей это неправильно, поэтому я решил прописать такой маршрут на маршрутизаторе.
Как бы выглядела команда, будь в качестве роутера машина с Linux'ом? я думаю, что

Создал подобный маршрут в веб-интерфейсе, в Routing -> Routing Tables -> main

С компов 192.168.2.0/24 пошел пинг до компов 192.168.0.0/24, то зайти на них по RDP, шаре и т.д. не получается.
Трассировка давала два первых маршрута "со звездочками", и лишь потом - верные узлы.
прочел http://www.dlink.ru/ru/faq/85/493.html - стал только один маршрут "со звездочкой", но и фиг бы с ними, со звездочками, главное - что на компы из 192.168.0.0/24 нельзя попасть. В логах появляются события "tcp_seqno_too_high", "ttl_low" и попытки соединений то drop, то adjust
Пробовал создавать правило в Rules -> IP Rules

И не помогло. Помогите, пожалуйста, полюбому есть какая-то закавыка! Может, я что-то где-то не сделал, галочку какую-то не поставил или настройку забыл сделать?
Просто впервые сталкиваюсь с таким устройством, вроде понял его логику в первом приближении, а, оказалось, что нет ))
Заранее огромное спасибо!

Некрасивости вроде вашей возникают, когда в одной сети есть более одного шлюза в разные сети. Я бы предпочел, как симпатичный вариант, чтобы всегда одно устройство было было производительным рутером в центре сети.

В вашем случае, если вы хотите оставить топологию неизменной, просто в IP правиле замените действие Allow на FwdFast

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Более правильно -- вынести Ваш VPN-шлюз в другую сеть, например dmz. Если все физические интерфейсы DFL заняты, их количество легко увеличить в 860E, используя фичу "port-based VLANs".

Спасибо, замена Allow на FwdFast помогла!
Мне тоже нравится, когда на одном мощном девайсе файерволлинг и всякая маршрутизация централизовано происходит, но, увы - на DFL-860e нет OpenVPN-клиента и нет возможности туда его поставить (или я чего-то не знаю? )

Да, скорее всего будет правильнее. и вам тоже спасибо!
Тему можно закрыть, но не удаляйте, вдруг еще кому пригодится.

Кстати . тут у меня давно в мозгу ходит идея , за DFL поставить Микротик , и на нем поднять OpenVPN. осталось полностью осмыслить как и куда что терминировать - и получится достаточно мощная связка. Так же рассматривается ASA 500 в таком ключе но до нее пока далеко ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку