Дано:
Чистый Windows 2008R2, поднимаем только RRAS (маршрутизация и удалённый доступ) и NPS (сервер политики сети).
Разрешаем VPN, включаем возможность коннекта PPTP, включаем старый протокол авторизации CHAP (железка, которая описана ниже, другой не поддерживает).

Клиент: железка 3COM 3CR858-91 (теперь она называется HP V100) коннектится по VPN в режиме "сеть". Компы филиала соответственно напрямую воткнуты в эту железку.
Со всех этих компов филиала прекрасно видится вся сеть Центра.

Хочу: из Центра видеть компы Филиала без построения site-to-site. Дописываю статический маршрут для пользователя VPN:
http://savepic.su/593390m.png (http://savepic.su/593390.htm)

Делаю пинг в Центре: "Общий сбой". Делаю трассировку:
C:\>tracert 192.168.26.1
Трассировка маршрута к 192.168.26.1 с максимальным числом прыжков 30
1 Общий сбой.
Трассировка завершена.

Убираю статический маршрут из пользователя, переконнективаюсь, прописываю ручками:
route add 192.168.26.0 MASK 255.255.255.0 172.16.1.2
и сразу же всё начинает превосходно работать! Тот же самый маршрут! Сравниваю таблицы маршрутизации обоих вариантов
прописан в пользователе:
http://savepic.su/594414m.png (http://savepic.su/594414.htm)
добавлен вручную:
http://savepic.su/650721m.png (http://savepic.su/650721.htm)

Различаются только метрикой (которую изменить при первом случае не получается) и протоколом (который так же явно нигде не прописывается и устанавливается автоматически)

Что за проблема? Кто нибудь можешь направить на путь истинный?

Вероятно, надо добавить второй маршрут в статические, который укажет, что к полученному при подключении адресу надо ходить через определенный интерфейс ( route add 192.168.15.10 255.255.255.255 192.168.15.10, где 192.168.15.10 - полученный клиентом адрес впн интерфейса).

Правильнее даже просто сравнить таблицы маршрутизации (route print'ом) на клиенте, при указании статического маршрута и без оного.

Вероятно, надо добавить второй маршрут в статические, который укажет, что к полученному при подключении адресу надо ходить через определенный интерфейс ( route add 192.168.15.10 255.255.255.255 192.168.15.10, где 192.168.15.10 - полученный клиентом адрес впн интерфейса).
Правильнее даже просто сравнить таблицы маршрутизации (route print'ом) на клиенте, при указании статического маршрута и без оного. »
Вы не правы по всем пунктам....

из Центра видеть компы Филиала без построения site-to-site. Дописываю статический маршрут для пользователя VPN: »

Вы сделали маршрут в одну сторону: Центр -> Филиал

Теперь вам нужен маршрут: Филиал -> Центр.


P.S. У меня подобная схема функционирует на 2003 сервере уже несколько лет.

железка 3COM 3CR858-91 (теперь она называется HP V100) коннектится по VPN в режиме "сеть". »
из Центра видеть компы Филиала без построения site-to-site. »
сами то поняли? :)
Дописываю статический маршрут для пользователя VPN: »
под которым железяка подключается к RRAS?
Что за проблема? Кто нибудь можешь направить на путь истинный? »
проблема в непонятном "хочу через одно место"

если уж Site-to-Site то почему бы на RRAS'е это не сделать?
если уж не хочется так - пропишите маршрут на РРАСе.
если уж и это не хочется - 121/249 DHCP Option для клиентов

Вы сделали маршрут в одну сторону: Центр -> Филиал
Теперь вам нужен маршрут: Филиал -> Центр.
P.S. У меня подобная схема функционирует на 2003 сервере уже несколько лет. »
проблема в непонятном "хочу через одно место"
если уж Site-to-Site то почему бы на RRAS'е это не сделать?
если уж не хочется так - пропишите маршрут на РРАСе.
если уж и это не хочется - 121/249 DHCP Option для клиентов »

Уважаемые коллеги!
Прочитайте пожалуйста внимательно снова весь пост.

Особое внимание обратить на смысл фразы: "прописываю то же самое ручками.... и сразу всё начинает работать"

Вот есть родственная тема: http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/4eefc98a-d983-4b7a-b1f4-f44ab72921be
больше похоже на баг или на необходимость более тонкой настройки

Да, перечитал внимательно. Действительно глупость сказал, каюсь.