Возможен ли доступ через Juniper dynamic vpn в маршрутизируемую подсеть?

Question

[EvilMause]

Приветствую!
Начнем со схемы сети:

Client-----Juniper---l3 switch---trust net 1 (192.168.20.0/24)
             |
        trust net 2 (192.168.10.0/24)

На Juniper настроен Dynamic vpn для клиентского доступа. Он работает вполне успешно, но только для тех подсетей которые обслуживает сам Juniper. Если он не имеет интерфейса в эту подсеть и ходит в нее через другой шлюз (на схеме это l3 switch) доступа до хостов в этой подсети нет. При этом из подсети trust net 2 в подсеть trust net 1 доступ есть в обе стороны, с Juniper доступ в trust net 1 есть, обратно тоже.
В настройках Dunamic vpn указано все что необходимо и указано в KB Juniper.
т.е. в разделе dynamic-vpn - clients - remote-protected-resources нужные подсети указаны, security policy для ipsec-vpn dyn-vpn созданы.
Маршрут до необходимой подсети настроен и сеть доступна.
Единственное что удалось найти это непонятная строка в логе снятом через securiry flow traceoptions.
В нормальном случае она выглядит вот так:

Feb 29 17:00:37 17:03:13.670332:CID-1:RT:  flow_first_create_session

Feb 29 17:00:37 17:03:13.670352:CID-1:RT:  flow_first_in_dst_nat: in <reth0.504>, out <N/A> dst_adr 192.168.10.51, sp 326, dp 1

Feb 29 17:00:37 17:03:13.670360:CID-1:RT:  chose interface N/A as incoming nat if.

Feb 29 17:00:37 17:03:13.670393:CID-1:RT:flow_first_rule_dst_xlate: DST no-xlate: 0.0.0.0(0) to 192.168.10.51(1)

Feb 29 17:00:37 17:03:13.670415:CID-1:RT:flow_first_routing: vr_id 5, call flow_route_lookup(): src_ip 10.10.20.15, x_dst_ip 192.168.10.51, in ifp reth0.504, out ifp N/A sp 326, dp 1, ip_proto 1, tos 0

Feb 29 17:00:37 17:03:13.670439:CID-1:RT:Doing DESTINATION addr route-lookup

Feb 29 17:00:37 17:03:13.670468:CID-1:RT: routed (x_dst_ip 192.168.10.51) from dmz (reth0.504 in 1) to reth0.1010, Next-hop: 192.168.10.51

Feb 29 17:00:37 17:03:13.670495:CID-1:RT:  policy search from zone dmz-> zone servers (0x0,0x1460001,0x1)

В случае доступа в маршрутизируемую подсеть вот так:

Feb 29 16:46:58 16:49:34.806023:CID-1:RT:  flow_first_create_session
 
Feb 29 16:46:58 16:49:34.806023:CID-1:RT:  flow_first_in_dst_nat: in <reth0.504>, out <N/A> dst_adr 192.168.20.75, sp 241, dp 1
 
Feb 29 16:46:58 16:49:34.806056:CID-1:RT:  chose interface N/A as incoming nat if.
 
Feb 29 16:46:58 16:49:34.806080:CID-1:RT:flow_first_rule_dst_xlate: DST no-xlate: 0.0.0.0(0) to 192.168.20.75(1)
 
Feb 29 16:46:58 16:49:34.806091:CID-1:RT:flow_first_routing: vr_id 5, call flow_route_lookup(): src_ip 10.10.20.15, x_dst_ip 192.168.20.75, in ifp reth0.504, out ifp N/A sp 241, dp 1, ip_proto 1, tos 0
 
Feb 29 16:46:58 16:49:34.806125:CID-1:RT:Doing DESTINATION addr route-lookup
 
Feb 29 16:46:58 16:49:34.806132:CID-1:RT: routed (x_dst_ip 192.168.20.75) from dmz (reth0.504 in 1) to reth0.504, Next-hop: <i>internet gateway</i>
 
Feb 29 16:46:58 16:49:34.806160:CID-1:RT:  policy search from zone dmz-> zone dmz (0x0,0xf10001,0x1)

Как видно пакеты отправляются обратно на внешний интерфейс! Как это исправить?

Comments

[EvilMause]

Нашел тут еще некоторый непонятный момент, возможно это как то связано.
У меня по какой то не понятной для меня причине перестали импортиться маршруты из inet.0 через rib-group.
Т.е. раньше все было хорошо, а теперь в inet.0 маршрут есть, а в остальных нет. Прописано это вот так:

username@srxfw02> show configuration routing-options rib-groups
IMPORT-ONE {
    import-rib [ inet.0 skype-path.inet.0 isp2-static-path.inet.0 nat_statick.inet.0 ];

И вот в inet.0 маршрут в подсеть 192.168.20.0/24 есть, а в skype-path.inet.0 его уже нет. Возможен ли какой то сбой в прогрузке маршрутов который повлиял и на dyn vpn? Создается впечатление что там тоже нет нужного маршрута и он уходит по дефолтному.