DHCP в VPN site-to-site
 

День добрый!

Есть несколько удаленных точек с маршрутизаторами cisco 881w. Все они в одной сети провайдера со внешними IP-адресами. На каждой циске поднят DHCP сервис.
От каждой точки установлен VPN туннель site-to-site к центральному маршрутизатору сфотварному.
За софтварным маршрутизатором есть несколько наших серверов, в том числе и DHCP сервер на Windows 2008.

В одной из точек все рабочие станции получили IP адреса от Win DHCP, вместо Cisco DHCP и в результате у них целиком сменилась подсеть и практически ничего не работает.

Подскажите, где искать ошибку?

Широковещательный запрос адреса прошёл из клиентской сети в вашу "главную" сеть. Обратно пришли ответы. Закройте dhcp трафик в тунелях (67, 68 порты udp).

Так вроде у DHCP сервисов идут ответы по принципу "кто успел тот и сьел" ? Ну т.е. сервер который первый ответил клиенту и выдает ему IP адрес. Как может север который находится в другой подсети ответить быстрее чем локальный маршрутизатор?

И разве широковещательные запросы маршрутизируются?

К сожалению ничего конкретного не могу ответить по этому поводу. Просто если есть состоявшееся явление, то видимо ваши предположения имеют некоторые неточности.

При настройке VPN сервера pptpd в ubuntu есть такой параметр bcrelay. Если указать в его аргументе название внутрисетевого интерфейса, то все широковещательные запросы принятые на него, будут транслироваться VPN клиентам.

Ну у нас не по pptp ( по скольку он клиент - сервер) а через ipsec. Софтварный роутер vyatta, она тоже на основе debian, но у нее свой CLI.

Я не могу понять почему это происходит всего на нескольких точках, на остальных все нормально. Конфигурации cisco идентичны...

А есть разница при настройке cisco в том чтобы прописать route-map и указать acl с интерфейсом и в том чтобы прописать ip route ?