маршруризация через несколько шлюзов

>когда иду на комп где VPN, маршрут идет через gate_1

С чего бы это? Согласно
route add -net 10.0.0.0/24 gw 192.168.1.2,
маршрут должен сразу через 1.2 идти.

обратно с gate_2 отдается напрямую машине локальной сети, миную gate_1, так как gate_2 находится в этой же подсети

Дык так и должно быть.

Есть нюанс - когда из компьютера локальной сети (windows XP) захожу на компьютер где VPN через RDP коннект происходит не с первого раза, где-то со 2-го - 3-го.

Обычно, когда дело в статической маршрутизации, коннекты либо все работают, либо не работают в принципе.

Ранее, когда VPN был на gate_1, такой проблемы не было замечено.

Винда вирусов нахватала и теперь глючит. Скорее всего.

Адреса для 192.168.0.0 выдаются как? статически или dhcp? Если dhcp, то лучше роутинг в впн сеть отдавать клиентам, а не писать его на сервере. Так будет правильней, потому что в данный момент сервер натит коннекты в впн-ные сети (скорее всего)

:)

lan-net=192.168.0.0/23

lan-net - это компьютеры локальной сети.

default gw для lan-net - 192.168.1.1

Из этих данных маршрут на 10.0.0.0/24 строится как:

client(192.168.1.X)->gate default (192.168.1.1)-> 192.168.1.2(static route)-> (10.0.0.0/24)VPV-Client.

Это туда, обратно миную gate_1.

Винда вирусов нахватала и теперь глючит. Скорее всего.

Все сеть не может быть вирусована.

Также, как говорил, данная проблемма не была замечена, когда VPN-ы висели на gate_1.

Вот сейчас как раз был пример. Идет клиент RDP - нет конекта, иду telnet vpn-client 3389 - нет коннекта после первогораза, со второго заходит и rdp после этого работает.
Что-то с маршрутом...

1.Отдается ip-адреса по DHCP.

Если dhcp, то лучше роутинг в впн сеть отдавать клиентам, а не писать его на сервере.

как-то это не серьезно - у меня два канала, разные сервисы и как мне кажется маршрутизаторы на то и маршрутизаторы, что бы маршрутизировать.

Так будет правильней, потому что в данный момент сервер натит коннекты в впн-ные сети (скорее всего)

VPN не натится.

>как-то это не серьезно - у меня два канала, разные сервисы и как мне кажется маршрутизаторы на то и маршрутизаторы, что бы маршрутизировать.

Конечно. Но смысла гонять трафик от одного маршрутизатора внутри сети до другого, когда трафик можно напрямую гнать на второй - нет.

Нужно всего-лишь передать маршрут до впн сетей через второй маршрутизатор, оставив дефолтный на первом маршрутизаторе.
Так будет правильней)

Конечно. Но смысла гонять трафик от одного маршрутизатора внутри сети до другого, когда трафик можно напрямую гнать на второй - нет.

Мне трафика внутри-сетевого не жалко.
В данном случае речь идет о одном хоме, на скорости 100mbit и он никак не должен влиять на задержки передачи данных. Здесь что-то другое....

А, так шлюз для VPN только на 1.1 прописан, понял твою проблему.

Тогда попробуй на 1.2 такую магию:
ip ro add default via 192.168.1.1 table 101
ip ru add from 10.0.0.0/24 to 192.168.0.0/23 table 101

Может вы всё-таки попробуете это, как решение проблемы?
Поскольку проблема явно в том, как оно сейчас настроено.

Не обязательно.
Вчера с удивлением наблюдал как работало ssh на хост с двумя каналами - трафик приходил по одному каналу а уходил по другому.
Не совсем понимаю - почему оно работало.

Наверное, rp_filter был отключен.

Странно, но не помогло...

Ну... можно еще попробовать туннель между 1.1 и 1.2 поднять, с другим адресным диапазоном.

В вашем случае возникают icmp-redirect пакеты, возможно, что XP их как-то обрабатывает и переключается на правильную маршрутизацию, но не сразу. Или проблема в mtu, а точнее в обработке соответсвующих icmp-пакетов.

Проверьте правильность iptables на обоих шлюзах.

Вобще, то что вы делаете, не совсем правильно, либо уж добавляйте на Win XP маршруты через gate_2, либо убирайте с gate_2 адрес 192.168.1.2 и делайте, что все трафик lan-net<=>gate_2 шёл только через gate_1.

убрал с gate_2 192.168.1.2.
сделал связь между gate_1 и gate_2, через сеть которой нет во внутренней сети и все заработало.

А до этого винда назначала автоматически динамический маршрут через gate_2, в результате это скорее всего и вызывало проблемы.