Veja o que pode ser um problema. Imagine que você tenha a seguinte rede:
address pool: 10.1.1.0/255.255.255.0
router: 10.1.1.1
internal interface on internal vpn server: 10.1.1.2
some external machine that VPNs to network: 10.2.2.2
some internal client machine: 10.1.1.90
Quando você tenta acessar o SIC da caixa VPN externa, a rota de tráfego é assim:
- 10.2.2.2
- vpn (internet)
- 10.1.1.2
- 10.1.1.90
- OK
Parece bom, NO ENTANTO, para que o tráfego flua, a máquina 10.1.1.90 deve ser capaz de responder e isso significa que os pacotes devem ser roteáveis para 10.2.2.2 também. O cliente interno tem obviamente ip: 10.1.1.90, mask: 255.255.255.0 e roteador: 10.1.1.90. Portanto, os pacotes seriam roteados assim:
- 10.1.1.90
- 10.1.1.1 (seno é roteador e 10.2.2.2 não é endereçável diretamente)
- internet
- NÃO ENCONTRADO
Basicamente, os pacotes de resposta nem chegam à VPN. O que você pode fazer? Obviamente, o que vai funcionar é adicionar rota ao cliente interno para rotear todos os pacotes para 10.2.2.2 não para a caixa VPN em vez do roteador, como (caixa do Windows):
route add 10.2.2.0 mask 255.255.255.0 10.1.1.2
isso resolverá o problema no nível de uma única máquina. Pacotes de resposta irão:
- 10.1.1.90
- 10.1.1.2 (rota explícita)
- vpn (internet)
- 10.2.2.2
Para resolver o problema no nível da rede, você deve modificar o roteador em um mesmo assunto para redirecionar todo o tráfego que vai para 10.2.2.0 a 10.1.1.2. Desta forma, o pacote de resposta irá:
- 10.1.1.90
- 10.1.1.1
- 10.1.1.2
- vpn (internet)
- 10.2.2.2
Outra solução é: faça sua caixa VPN para NAT na interface 10.1.1.2. Desta forma, para máquinas internas, parecerá que todo o tráfego é originário do 10.1.1.2, e as respostas irão para 10.1.1.2. Eu aconselharia a passar pelo roteamento, já que o NAT exigirá recursos adicionais na caixa VPN para rastreador de conexão