Технология IPsec, по определению, функционирует на 3 уровне протокольного стека (уровень IP) и обеспечивает безопасное взаимодействие IP-подсетей. Говоря более точно о туннельном режиме IPsec, это означает, что:

• Адресные пространства приватных сетей, находящихся по одну и по другую сторону туннеля, не пересекаются друг с другом.
• Адресные пространства приватных сетей не пересекаются с адресным пространством публичной сети, к которой подключён VPN-шлюз.

Это постулаты, принятые безусловно по существу технологии IPsec, и только их выполнение гарантирует, что IPsec будет функционировать должным образом. Нарушение этих правил может приводить к непредсказуемым результатам, в зависимости от конкретной конфигурации и от особенностей конкретных реализаций IPsec на обеих сторонах туннеля.

В частности, некорректной является распространённая конфигурация, когда весь трафик филиала направляется в головной офис (подсеть на одной из сторон туннеля описывается как 0.0.0.0/0, что включает в себя любую другую подсеть), а уже оттуда маршрутизируется как на хосты корпоративной сети, так и во внешний мир (одноквасники, мордокнига и проч.). Это противоречит не только исходным условиям IPsec, но и здравому смыслу его применения. Корректным будет одно из двух решений:

1. Трафик из филиала во внешний мир отправляется непосредственно с локального шлюза филиала. В туннель отправляется исключительно внутрикорпоративный трафик.
2. Внутрикорпоративным объявляется весь трафик. Хосты из филиала (а также из головного офиса) не имеют права самостоятельно выходить в Интернет — для этого на них нет маршрутов по умолчанию, есть только маршруты в сегменты корпоративной сети. Всё общение в Интернет производится только через специально обученных людей выделенные шлюзы прикладного уровня, расположенные в головном офисе: прокси, контент-фильтры и т.п. Работать надо, а не чатиться!

На практике такие некорректные конфигурации работают в ряде распространённых реализаций, но это неправильно.

Обратно в узел ipsec...