policy route por vpn.

[roman.campos]

Tengo el siguiente escenario tengo dos redes internas,servidores
192.168.220.0/24 y la red lan de computadoras 192.168.225.0/24.
Tengo dos enlaces de internet, un Enlace Ide de 2 megas con Prioridad 3 y un
enlace PPOE con prioridad 2, los dos activos al mismo tiempo.
En el Ide tengo colgadas Vpn por interfases en las cuales uso 1 fase1 y 20
fase2, por las cuales se realizan la conexion de todas las VPN las cuales tienen
direccionamiento de la 192.168.1.0,192.168.2.0,192.168.3.0 etc asi sucesivamente
para las 20 vpns.
Mis salidas a internet mis usuarios de la red lan salen por el enlace PPOE por
ser el que menos prioridad tiene,mis servidores los ando sacando por mi enlace
Ide de 2 megas haciendo Policy Routes, pongo una que vaya a mi red LAn primero,
luego pongo otra que vaya a mis conexiones VPNs y la ultima para que salga a
internet, en este orden las pongo.

input-device : Servidores
src : 192.168.220.0 255.255.255.0 (red de servidores)
dst : 192.168.225.0 255.255.255.0 (red lan)
protocol : 0
gateway : 0.0.0.0
output-device : port10(puerto de mi red lan)
tos : 0x00
tos-mask : 0x00

input-device : Servidores
src : 192.168.220.0 255.255.255.0 (red de servidores)
dst : 192.168.0.0 255.255.0.0 (red de vpns)
protocol : 0
gateway : 0.0.0.0
output-device : vpn_site(puerto virtual que se crea por la vpn)
tos : 0x00
tos-mask : 0x00

input-device : Servidores
src : 192.168.220.0 255.255.255.0 (red de servidores)
dst : 0.0.0.0 0.0.0.0 (internet)
protocol : 0
gateway : 181.147.63.12(ip de mi router del servicio Ide)
output-device : port8
tos : 0x00
tos-mask : 0x00

El caso esta que mis servidores ven a mi red lan y salen a internet sin
dificultad, el caso esta que donde no llegan es a mis enlaces de VPN toda mi red
en especifico.
Cuando le haga un traceroute desde mis server hacia alguna direccion de mis
vpns, este se va por mi enlace Ide, no respetando la segunda politica de ruteo
donde le digo que cuando vaya a 192.168.x.0 que son las redes de mi vpn se vaya
por esa interfas.
Si le llego a quitar el gateway a mi tercera politica de ruteo, comienza a
funcionar mi trafico hacia las vpns,pero mi salida a internet por medio del Ide
se daña.
Ahi tengo esa duda sobre la politica de ruteo las he usado siempre y pues me han
funcionado todo sin problema, alguien tendra alguna sugerencia sobre el
escenario que se me presenta.

Fortigate 200B
IOS 4,MR3 pacht 8.
Gracias.

[gabyrossi]

Hola, no necesitarias puerta de enlace en la politica de internet.

No me quedo claro, si sacas el gw si llegas a las vpn??

[roman.campos]

mas que nada GAby, el detalle esta que quiero sacar un servidor por un enlace que tiene un prioridad mas alta que la de otro enlace, todo funciona bien hasta ahi, el detalle que esta que cuando hago eso dejo de ver mis redes internas con el servidor porque le pongo una ruta por default hacia internet (0.0.0.0/0.0.0.0). Si creo que la policy route hacia mis rede internas funciona, hacia donde no me funciona es hacia las interfaces virtuales que se crean de mis vpns. Enotnces no se si las Policy routes no funcionan cuando mandas trafico hacia las vpns.

[gabyrossi]

hola las rutas por default hacia los gw siempre tienen que estar
misma distancia y diferente prioridad.

luego rutas estaticas hacia los dewtisnos de vpn
y las politicas de ruteo para ver las demas redes , vpn y hacia el internet que no es el default