Задача следущая:
Есть два офиса(А,В), в обоих DFL-860e, прошивка 2.27.06.10-19068. Между ними vpn pptp тунель вида А-сервер В-клиент. Можно ли сделать так, чтобы интернет-трафик из офиса В шел через офис А? То есть, чтобы при выходе в интернет из офиса В светился IP офиса А.

Конечно, можно. В офисе В нужно убрать маршрут по умолчанию на wan и создать маршрут через туннель.
Нужно также соответственно изменить правила.
В офисе А нужно создать правило NAT, разрешающее трафик из туннеля в интернет.
Но для межофисных туннелей лучше использовать IPSec, а не PPTP.

Спасибо. Я пробую для одной из машин из В-сети, не выходит пока. Буду дальше копать.
IPSec не вариант, нужно не светить В-адрес.

Не вижу связи. Все клиенты в инете будут видны с адреса A. IPsec или PPTP, тип туннеля, к этому отношения не имеет.

Если необходимо шифрование IPsec предпочтительнее.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В А-DFL не будет прописан В-адрес, как при IPSec, только в логах видно будет его,а их уже не обязательно в коробку сохранять или можно вобще не сохранять.

шифрование, конечно, плюс, но решается программно.

Вам нужно, чтобы адрес с В-DFL не отсвечивался внутри коробки A-DFL или же в интернете, уже когда серфить будете?
В логах на A-DFL он точно будет, да и в правилах, боюсь, его нужно будет указывать, т.к. трафик нужно будет разворачивать через A-DFL.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Чтобы никак не светить адрес B внутри коробки DFL, IPsec можно сделать динамическим.

А логи, где адрес B фигурирует настроить, чтобы не писались. Но для выяснение всех таких логов лучше поднять Syslog сервер и искать этот адрес в его логах.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

нужно, чтобы нигде не отсвечивал...
А в правилах разве нельзя указать адрес уже внутренний, тот что pptp-клиент на сервере получит?

конечно, можно. единственное - надо изучать логи и вырубать нужные.

Но если такие серьезные меры по анонимности, то не грех напомнить, что несложный анализ инет-трафика средствами провайдера покажет все, что нужно. Т.е. адрес В.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

не вижу проблем
ипсек с All-Nets , и погнали .....
рулите как угодно - внутри все локальные адреса, на ружу как отправите .... но в NAT правилах ве равно светится будет .... а какой траффик вы куда отправите - дело ваше

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

если я правильно понял, в А-коробке достаточно одного правила:


чтобы пустить через А трафик для одной машины из В-сети я делаю правила в В-коробке:


какой нужен маршрут для этой машины подскажите, пожалуйста.

Да, все верно.
А еще на B-DFL потребуется в самом верху правил следующее:
NAT lan/lannet wan/all-nets pptp-suite

- это чтобы Вы смогли достучаться до pptp-сервера на A-DFL.

ДААААА!!!!!! ЕЩЕ!!!!! Чтобы фишка прокатила - не забудьте поставить галку в свойствах PPTP-клиента на компьютере "PC" - "Использовать основной шлюз в удаленной сети".

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Я ради прикола так развлекался год назад, но делал туннель внутри еще одного туннеля. Было задействовано 3 DFL'ки, и на выходе последней я получал адрес ее wan-порта и серфил по интернету.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

MTRX, у меня так сделана резервация , тк туннель натянут по сети провайдера , и при отключении основного интернета срабатывает резервация, и я иду маршрутом через другой DFL, как следствие НАТюсь на нем

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку