Маршрутизация через VPN

[Dr.Unich]

Всем привет! Ребята, прошу совета. У меня есть два офиса: основной и дополнительный. Офисы связаны посредством vpn на freebsd. В основном офисе freebsd c поднятым vpn-сервером стоит внутри сети, в дополнительном freebsd c vpn-клиентом одновременно является шлюзом. Требуется, завернуть весь исходящий трафик из локальной сети дополнительного офиса по vpn в сеть основного офиса.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

Заворачивайте!
А если по сути.
Что за по для впн? В чем проблема?
Сделайте шлюзом по умолчанию "тот конец впн".

[Dr.Unich]

mpd на обоих железках. Если я сделаю шлюзом по умолчанию "тот конец впн", у меня отвалится инет в дополнительном офисе, если я не ошибаюсь

[mak_v_]

1) на клиенте

Код: Выделить всё

set iface route default

2) в основном офисе пронатьте "внутреннюю сеть филиала" наружу и все у вас будет окей

[Dr.Unich]

В основном офисе так и настроил. Проблема конкретно в том, чтобы завернуть весь трафик из дополнительного в vpn. На данный момент офисы пингуют друг друга по впн, т.е. есть доступ к внутренним ресурсам из каждого офиса в другой. Единственная проблема, трафик из дополнительного офиса в интернет идет не через впн, а напрямую через провайдера.

[mak_v_]

Это похоже на бред

set iface route default

переписывыет шлюз по умолчанию на клиенте mpd. Соответственно в таблице маршрутизации остаются только локальные маршруты и маршрут у mpd-серверу.
Если у вас конечно не несколько таблиц маршрутизации и нет "заворотов" фаерволом

[Dr.Unich]

В настройках впн клиента

set iface route default

присутствует

[mak_v_]

1)покажите табличку маршрутизации на "машине внутри филиала" и на "филиальном роутере"

[Dr.Unich]

Код: Выделить всё

Destination        Gateway            Flags    Refs      Use  Netif Expire
default            x.x.x.x5           UGS         4     4157    de0
x.x.x.x4/30        link#1             U           0        0    de0
x.x.x.x6           link#1             UHS         0        0    lo0
127.0.0.1          link#5             UH          0        0    lo0
192.168.1.0/24     192.168.103.254    UGS         0      542    ng0
192.168.2.0/24     link#2             U           0      574    de1
192.168.2.1        link#2             UHS         0      129    lo0
192.168.103.22     link#6             UHS         0        0    lo0
192.168.103.254    link#6             UH          0        0    ng0

Таблица маршрутизации в филиале.
x.x.x.x5 - шлюз провайдера,
x.x.x.x6 - внешний айпишник

[mak_v_]

default x.x.x.x5 UGS 4 4157 de0

говорит о том что на клиенте не переписывается маршрут по умолчанию, ковыряйте конфиг на сервере и\или на клиенте.
На клиенте достаточно добавить в конфиг "set iface route default" и рестартануть mpd.

[Dr.Unich]

На клиенте в конфиге "set iface route default" присутствует

[mak_v_]

Значит не переписывается...
Смотрите лог, возможно у вас ситуация подобная вот этой http://dng.kiev.ua/node/6

[Dr.Unich]

Спасибо, похоже, это мне поможет. Буду проверять. О результатах отпишусь. Еще раз огромное спасибо за оперативную помощь!

[Dr.Unich]

Значит не переписывается...
Смотрите лог, возможно у вас ситуация подобная вот этой http://dng.kiev.ua/node/6

Спасибо, данный вариант мне помог

[pfsense]

Просто интересно. А почему бы не использовать интерфейсы gif с IPSec вместо mpd? Я делаю именно так для объединения сетей в разных городах.

[mak_v_]

А я делаю через openvpn - более 80-и филиалов (даже статья моя есть тут), а до этого работало на vtun.....От айписега ушёл из-за "ната" и "гре" и "непрозрачной маршрутизации" и необходимости в "былых IP" . Это религия?
Думаю сути вопроса это не поменяло. Через mpd тоже прекрасно работает. Думаю топикстартеру не составит труда сделать и на mpd, тем более, что 85% уже он сделал.