У нас есть корпоративная сеть в офисе 1 с Forefront TMG в качестве шлюза. Диапазон IP-адресов внутренней сети офиса 1: 192.168.0.0/24.
У нас есть филиал 2 с маршрутизатором Mikrotik (вы можете думать о нем как о межсетевом экране Linux с питанием от iptables, если вы не знаете, в частности, о Mikrotik). Диапазон IP-адресов в офисе 2 - 192.168.88.0/24. 192.168.88.1 - это IP-адрес шлюза.
Я установил соединение Site-to-Site VPN, при котором только Mikrotik использует свой PPTP-клиент для подключения к VPN-шлюзу office 1 на TMG.
TMG использует маршрутную связь для связи с компьютерами в диапазоне офиса 2.
Если в конфигурации клиента PPTP на Mikrotik установлен флажок «Добавить маршрут по умолчанию», весь трафик проходит через TMG как в Интернет, так и в офисную сеть 1. Компьютеры Office 1 также могут получить доступ к сети Office 2, все работает отлично.
Но есть накладные расходы, когда мы не хотим, чтобы весь интернет-трафик из офиса 2 проходил через TMG в офисе 1. Нам нужны только IP-адреса офиса 1, маршрутизируемые через VPN, в то время как все остальное проходит через восходящий интернет-канал в офисе 2.
Поэтому я отключил галочку «Добавить маршрут по умолчанию» в конфигурации клиента PPTP и использовал настройку Mingle в брандмауэре на Mikrotik, чтобы добавить метку маршрутизации для всего трафика, нацеленного на сеть офиса 1. В таблице маршрутов на Mikrotik я в основном добавил маршрут, который говорит: весь трафик с отметкой office 1 проходит через шлюз VPN.
Это почти дает мне то, что я хочу. Офис 2 подключается к IP-адресу офиса 1 через VPN-шлюз, другие запросы проходят через локальный Интернет-канал. Но единственное, что не работает в этой настройке, если не установлен флажок «Добавить маршрут по умолчанию», - это то, что компьютеры офиса 1 не могут получить ни IP Mikrotik с VPN, ни какой-либо IP в сети офиса 2. Mikrotik в основном не маршрутизирует трафик, исходящий из Office 1. Я пробовал несколько подходов (маршрутов), основанных на метке маршрутизации, но ни один из них не позволил мне иметь доступ к Office 1, офис 2. Только если "Добавить маршрут по умолчанию" установлен проверю, могу подключить оба способа.
Пожалуйста, помогите намекнуть, что такого особенного стоит за этим «Добавить маршрут по умолчанию» в моей настройке, поскольку я в основном вручную добавляю то же самое, что позволяет работать только половине настроек связи.
Вам необходимо создать статические маршруты на каждом маршрутизаторе, чтобы они знали, как добраться до сети каждого офиса.
На маршрутизаторе Office 1:
Создайте маршрут для сети назначения 192.168.88.0/24 со шлюзом IP или интерфейсом вашей VPN. (Я не знаю, что такое TMG и как он может ссылаться на статические маршруты, но концепция одинакова, независимо от поставщика маршрутизатора).
Поскольку вы упомянули некоторую «взаимосвязь маршрутов» (я предполагаю, что это терминология конкретного производителя), возможно, вам не потребуется добавлять какие-либо маршруты на маршрутизатор TMG.
На маршрутизаторе Office 2:
Вы создаете статический маршрут либо через Winbox (IP > Router> Add) или через cli.
/ip route add dst-address=192.168.0.0/24 gateway=pptp-interface
Теперь маршрутизатор Office 2 знает, как достичь 192.168.0.0/24 (через VPN), и точно так же маршрутизатор Office 1 должен знать, как достичь 192.168.88.0/24.
Кроме того, я не думаю, что вам нужны какие-либо правила. Все это можно сделать без каких-либо iptables (IP> Firewall в терминологии MikroTik), поскольку это просто статическая маршрутизация между двумя сетями.