Существует сеть 192.168.0.1/255, в которой находится VPN шлюз. Удаленные клиенты, дозваниваясь, получают ip адреса 10.0.0.0/255 с маской 255.255.255.0. Всем удаленным клиентам доступны локальные ресурсы сети 192.168.0.1/255, кроме случая когда локальная сеть удаленного клиента имеет туже самую адресацию что и удаленная, т.е. 192.168.0.1/255. В этом случае Удаленный компьютер, с подключенным vpn-интерфейсом, к примеру при попытке ping 192.168.0.5, начинает ломиться на локальный адрес а не удаленный, находящийся за сетью 10.0.0.0.255. В случае, кода адресация локальной сети удаленного компьютера отлична от 192.168.0.1.255 - все работает прекрасно. Соответственно добавть статический маршрут на удаленном компе, посылающий все пакеты в впн интерфейс не удается, да и в таблице динамических маршрутов он впринципе есть. Надеюсь понятно изложил =)

Спасибо!

192.168.0.1/255 »
Видимо имеется в виду 192.168.0.0/24 :)

Проблема в том, что когда создают удаленное подключение к сети, то ресурсам сети назначают такие адреса, которые с минимальной вероятностью могут встретиться в других сетях. А 192.168.0.0/24 - диапазон, который используется многими модемами и устройствами начального уровня.

Вариант1:
Перенастройте адресацию сети (с ресурсами) на диапазон 192.168.251.0/24 или 10.0.254.0/24 или еще что экзотическое :)

Вариант2:
Если менять адресацию не желаете, то нужно настраивать NAT на трафике из внутренней сети 192.168.0.0/24 в сеть 10.0.0.0/24, а на NATe настраивать проброс портов (если оборудование cisco, то сопоставление пулов адресов nat (inside) - global (outside)) к конкретным серверам (только мутно это).

Вариант3:
Если приложение (для которого создается VPN) настраиваемо на proxy, то можно попробовать настроить его на proxy, который размещен в удаленной VPN-сети (10.0.0.0/24) - proxy будет считать адреса 192.168.0.0/24 адресами своей сети и обеспечиттребуемые подключения.

PS: использование диапазона 10.0.0.0/24 может быть черевато пересечением адресов с какой-нибудь службой типа Клиент-Банк; т.ч. диапазоны адресов банков имеет смысл принимать во внимание в первую очередь.
PS2: вариант 1 - самый реалистичный (особенно при должном использовании DHCP).

Проблема в том, что когда создают удаленное подключение к сети, то ресурсам сети назначают такие адреса, которые с минимальной вероятностью могут встретиться в других сетях. А 192.168.0.0/24 - диапазон, который используется многими модемами и устройствами начального уровня. »
Не совсем согласен. Все это дело строилось не с нуля. Была сеть с 192.168.0.0/24 адресацией, и была удаленная маленькая сеть с такой же адресацией. Появилась необходимость сделать доступ из "маленькой" (филиал) в "большую" (гл. офис).
Менять адресацию в какой либо сети - великое мытарство, сами понимаете в сети более 100 компов, много че настроено по ip и тд., а ехать в филиал - тоже не очень весело. Это самый крайний вариант.

Вариант2:
Если менять адресацию не желаете, то нужно настраивать NAT на трафике из внутренней сети 192.168.0.0/24 в сеть 10.0.0.0/24, а на NATe настраивать проброс портов (если оборудование cisco, то сопоставление пулов адресов nat (inside) - global (outside)) к конкретным серверам (только мутно это). »
У меня настроен NAT из 10.0.0.0/24 в 192.168.0.0/24 и обратно проброшены определенные порты, какг бе все работает, но имеет место вышеуказанная проблема.

В тех филиалах, где посчастливилось настроить сеть на 192.168.1.0/24 - все четко.
Оборудование не cisco, а RRAS на w2k3.

Банк-клиенты у меня или по диал-апу звонят или через инет ломятся на определенный адрес, отличный от 10.0.0.0/24

DCHP выдает удаленным клиентам адреса из пула 10.0.0.3 - 10.0.0.250

Программы удаленных клиентов прокси не используют, все через NAT.

Пока только вижу выход менять адресацию локальных сетей удаленных клиентов.
Но это не лучший выход, жду ваших предложений =)

У меня настроен NAT из 10.0.0.0/24 в 192.168.0.0/24 »

Нужно настроить NAT в обратную сторону: чтобы в сети 10.0.0.0/24 не появлялись адреса из диапазона 192.168.0.0/24.
Но в этом случае у Вас могут быть проблемы с разрешением имен DNS-сервером внутренней сети - он будет разрешать имена в адреса 192.168.0.х :(


Вариант1:
Перенастройте адресацию сети (с ресурсами) на диапазон 192.168.251.0/24 или 10.0.254.0/24 или еще что экзотическое »
Все равно рекомендую перенастраивать адресацию, а то с нетривиальной настройкой замучаетесь потом ловить глюки.
Заодно найдете все, что настроено тупо на ip-адреса и сможете заменить на FQDN :)