Не могу настроить статические маршруты к VPN

[Igra18]

Друзья, здравствуйте. Есть кинетик Speedster и vpn сервер на softether (доступны туннели l2tp/ipsec и sstp). Если отправлять весь трафик на vpn (галочка "Использовать для выхода в интернет" в настройках туннеля) - все работает. Но никак не могу настроить, чтобы туннель был только для отдельных сайтов. Делаю статический маршрут по официальной инструкции, но нужный сайт либо не открывается, либо открывается напрямую без VPN.

В настройках маршрута галочка "добавлять автоматически" стоит. "Эксклюзивный маршрут" пробовал и так, и так - не помогает. Смена типа туннеля (l2tp/ipsec, sstp) не помогает.

Помогите плиз разобраться, что не так? Ниже выдача tracert с разными вариантами настройки маршрута:

 

1. Если на VPN перенаправляется весь трафик (в настройках туннеля стоит галочка «использовать для интернета»): VPN работает, видимых задержек нет. Сервисы локации по ip показывают Германию. Правда смущает таймаут на шаге 2, это нормально?

Скрытый текст

starting traceroute to google.com...

traceroute to google.com (216.58.212.142), 30 hops maximum, 84 byte packets.

1 192.168.30.1 (192.168.30.1) 45.374 ms 47.578 ms 44.866 ms

2 * * *

3 10.68.4.38 (10.68.4.38) 88.182 ms 45.237 ms 72.352 ms

4 138.197.250.158 (138.197.250.158) 46.858 ms 106.746 ms 45.762 ms

5 138.197.250.135 (138.197.250.135) 132.008 ms 46.711 ms 45.940 ms

6 74.125.146.56 (74.125.146.56) 46.308 ms 45.924 ms 45.256 ms

7 209.85.244.249 (209.85.244.249) 130.649 ms 753.748 ms 46.645 ms

8 142.250.46.247 (142.250.46.247) 46.635 ms 51.200 ms 46.591 ms

9 fra16s46-in-f14.1e100.net (216.58.212.142) 45.956 ms 129.517 ms 45.364 ms

 

2. В случае выборочной маршрутизации («использовать для интернета» отключено). Маршрут к «открытым» сайтам (маршрут не прописан): идет напрямую, как и должно:

Скрытый текст

traceroute to google.com (173.194.73.138), 30 hops maximum, 84 byte packets.

1 100.80.0.1 (100.80.0.1) 2.437 ms 1.997 ms 1.644 ms

2 10.1.120.18 (10.1.120.18) 1.630 ms 1.812 ms 1.763 ms

 

2а. Прописан маршрут до тестового узла (рандомный сайт с одним ip для простоты). По инструкции поле «адрес шлюза» оставил пустым. Сайт не открывается в браузере. Однако traceroute, похоже, строит маршрут через VPN

Скрытый текст

starting traceroute to pkf-st.ru...

traceroute to pkf-st.ru (185.32.58.246), 30 hops maximum, 84 byte packets.

1 192.168.30.1 (192.168.30.1) 51.247 ms 51.830 ms 50.855 ms

2 * * *

3 10.68.4.48 (10.68.4.48) 52.693 ms 57.743 ms 52.352 ms

4 138.197.250.164 (138.197.250.164) 53.549 ms 65.652 ms 66.875 ms

5 138.197.250.141 (138.197.250.141) 52.835 ms 52.148 ms 51.669 ms

6 138.197.244.69 (138.197.244.69) 70.458 ms 59.288 ms 57.882 ms

7 ams-ix-gw.rascom.as20764.net (80.249.211.84) 58.896 ms 57.841 ms 57.856 ms

8 * * *

9 xe-1-0-0.edge.mrn.m.oml.ru (185.32.56.68) 112.102 ms 85.987 ms 85.099 ms

10 vlan955.core2.mrn.m.oml.ru (185.32.56.87) 86.054 ms 86.528 ms 86.066 ms

11 vlan960.core.k12.m.oml.ru (185.32.56.91) 86.546 ms 85.759 ms 85.848 ms

12 185.32.58.246 (185.32.58.246) 85.546 ms 85.517 ms 85.416 ms

 

2в. Прописан маршрут до узла, в поле «адрес шлюза» попробовал указать внешний IP впн-сервера.
Сайт открывается в браузере, но почему-то напрямую через провайдера. То есть, маршрутизации на VPN нет:

Скрытый текст

starting traceroute to pkf-st.ru...
traceroute to pkf-st.ru (185.32.58.246), 30 hops maximum, 84 byte packets.
1 100.80.0.1 (100.80.0.1) 2.470 ms 1.827 ms 2.344 ms
2 10.1.120.18 (10.1.120.18) 1.556 ms 1.040 ms 1.312 ms
3 10.1.120.25 (10.1.120.25) 2.160 ms 1.922 ms 1.744 ms
4 10.0.22.225 (10.0.22.225) 3.774 ms 3.219 ms 3.067 ms
5 10.0.22.17 (10.0.22.17) 3.564 ms 3.562 ms 3.298 ms
6 10.0.21.117 (10.0.21.117) 2.096 ms 1.992 ms 2.032 ms
7 10.20.1.99 (10.20.1.99) 2.574 ms 2.978 ms 2.546 ms
8 10.20.1.132 (10.20.1.132) 1.845 ms 1.863 ms 1.863 ms
9 10.20.1.221 (10.20.1.221) 12.097 ms 2.054 ms 29.086 ms
10 10.20.1.114 (10.20.1.114) 38.132 ms 2.319 ms 1.967 ms
11 10.3.16.65 (10.3.16.65) 18.031 ms 2.756 ms 2.769 ms
12 10.3.16.2 (10.3.16.2) 2.658 ms 2.637 ms 3.079 ms
13 31.28.19.100 (31.28.19.100) 2.770 ms 3.361 ms 2.763 ms
14 * * *
15 31.28.18.97 (31.28.18.97) 10.045 ms 12.301 ms 9.808 ms
16 * * *
17 vlan953.core2.rtn.m.oml.ru (185.32.56.83) 11.694 ms 11.672 ms 11.960 ms
18 vlan956.core.slt.m.oml.ru (185.32.56.65) 10.243 ms 10.311 ms 10.199 ms
19 185.32.58.246 (185.32.58.246) 10.653 ms 10.845 ms 10.898 ms

 

2с. Прописан маршрут до узла, в поле «адрес шлюза» указан внутренний ip vpn-сервера (192.168.30.1).
Сайт не открывается в браузере. traceroute также строит маршрут через VPN:

Скрытый текст

starting traceroute to pkf-st.ru...

traceroute to pkf-st.ru (185.32.58.246), 30 hops maximum, 84 byte packets.

1 192.168.30.1 (192.168.30.1) 51.201 ms 51.847 ms 50.974 ms

2 * * *

3 10.68.4.48 (10.68.4.48) 52.048 ms 63.374 ms 51.541 ms

4 138.197.250.164 (138.197.250.164) 52.890 ms 52.613 ms 52.405 ms

5 138.197.250.141 (138.197.250.141) 52.617 ms 51.798 ms 51.941 ms

6 138.197.244.69 (138.197.244.69) 145.758 ms 57.883 ms 64.020 ms

7 ams-ix-gw.rascom.as20764.net (80.249.211.84) 58.708 ms 58.192 ms 58.791 ms

8 * * *

9 xe-1-0-0.edge.mrn.m.oml.ru (185.32.56.68) 86.292 ms 86.529 ms 87.336 ms

10 vlan955.core2.mrn.m.oml.ru (185.32.56.87) 86.631 ms 86.900 ms 85.786 ms

11 vlan960.core.k12.m.oml.ru (185.32.56.91) 85.539 ms 85.223 ms 85.398 ms

12 185.32.58.246 (185.32.58.246) 85.221 ms 85.364 ms 175.467 ms

 

Буду очень признателен

[Marassa]

Мне кажется, что Вы неправильно понимаете смысл галочки "Использовать для выхода в интернет" и напрасно ее отключаете. Она не означает автоматически, что ВЕСЬ интернет-трафик пойдет через туннель, а только то, что через этот туннель в принципе возможен выход в интернет. У меня эта галка включена, в приоритетах соединений на первом месте стоит обычный выход на провайдера, а на втором - VPN-соединение. Если трафик до некоей сети нужно пускать через VPN, создаёте маршрут, прописываете IP и указываете, что этот трафик надо пускать через VPN. Адрес шлюза не нужен. Трафик до всех остальных IP согласно приоритетам соединений идёт через провайдера мимо VPN.

[Igra18]

15 часов назад, Marassa сказал:

Мне кажется, что Вы неправильно понимаете смысл галочки "Использовать для выхода в интернет" и напрасно ее отключаете. 

Вы оказались абсолютно правы. После того как разрешил выход в интернет через туннель и настроил приоритеты - все заработало. Спасибо огромное!

[keenet07]

18 минут назад, Igra18 сказал:

Вы оказались абсолютно правы. После того как разрешил выход в интернет через туннель и настроил приоритеты - все заработало. Спасибо огромное!

Что может заработать таким образом? Только прогон всего трафика через VPN. Это галочка по сути только для настройки приоритетов. Если она снята, то этот VPN вообще отсутствует в приоритетах подключений. Если поставлена, то система определяет этот VPN, как ещё один выход в интернет. Однако, наличие или отсутствие этой галочки вообще никак не влияет на работу маршрутов через этот VPN заданных вручную.

[Igra18]

21 час назад, keenet07 сказал:

Что может заработать таким образом?

Хз, но факт. До этого все (не)работало, как написал в первом сообщении. Поставил галочки - заработали раздельные маршруты. Больше ничего не менял.

Сам не ожидал, т.к. до этого настраивал по различным мануалам, где говорилось что для раздельного маршрута галочка "интернет" не нужна.