[El Scorpio]

Цитата satyricon13:

Прописал на обоих шлюзах роуты 192.168.1.0 255.255.255.0 gate 213.176.225.37 (это внешний Ипшник на другом конце туннеля). В обратную сторону тоже прописал 192.168.0.0 255.255.255.0 gate 91.202.197.68 »

Для маршрутизации пакетов сеть, расположенную по ту сторону VPN-туннеля нужно для данного маршрута указывать шлюзом не IP-адрес устройства, который этот туннель создаёт, а внутренний адрес того конца тоннеля (или само коммутируемое соединения тоннеля).

[satyricon13]

El Scorpio, спасибо за подсказку.
Тогда получается на одном шлюзе у меня будет:
Роут на шлюзе 0ой сетки: 192.168.1.0 255.255.255.0 gate будет 192.168.1.1 metric 1
Роут на шлюзе 1ой сетки: 192.168.0.0 255.255.255.0 gate будет 192.168.0.1 metric 1
Сами шлюзы почемуто указывают, при добавлении такого роута, что он некорректен.
Можно еще указать вместо названия шлюза интерфейсы (но самого виртуального тоннеля в списке интерфейсов ессно нет), можно лишь указать интерфейс WAN1 на котором поднимается туннель.

Загвоздка еще вот в чем, как подружить ДНС шлюза Zyxell 192.168.1.1 с ДНС сетки 192.168.0.0 (ДНС сервер на КД по адресу 192.168.0.3).
Пытаюсь ввести в домен комп находящийся в сетке 192.168.1.1, пишет что не может найти SRV запись. Как сделать чтобы ДНС передавалось либо на 192.168.1.1, либо чтобы для разрешения имени компа из сетки 192.168.0.0/24 запрос резолвил сервер 192.168.0.3.

Вообще пока вручную не прописал MX-запись для сервера 192.168.0.3 на шлюзе 192.168.1.1 сервер по имени servereps не пинговался и nslookup отвечал сервер провайдера. Как видно в первом сообщении.

Как прописал стало:

C:\Users\1>nslookup servereps
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

╚ь*: servereps.elpromsv.local
Address: 192.168.0.3


C:\Users\1>ping servereps

Обмен пакетами с servereps.elpromsv.local [192.168.0.3] с 32 байтами данных:
Ответ от 192.168.0.3: число байт=32 время=4мс TTL=124
Ответ от 192.168.0.3: число байт=32 время=36мс TTL=124
Ответ от 192.168.0.3: число байт=32 время=8мс TTL=124
Ответ от 192.168.0.3: число байт=32 время=4мс TTL=124

Статистика Ping для 192.168.0.3:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 4мсек, Максимальное = 36 мсек, Среднее = 13 мсек

[Tonny_Bennet]

satyricon13, вы пояснили что у вас есть 2 сети но не сказали какая сеть используется для создания тунеля. Какие адреса у интерфейсов когда запущен VPN?

[satyricon13]

VPN поднимает сама железка ZyWall 100 к такой же железке на другом конце.
Вкладка VPN Gateway показывает ИПшники на интерфейсе, они почему то совпадают со внешними Ипшниками.
На WAN интерфейсе шлюза сетки 192.168.1.0 адрес 91.202.197.68 255.255.255.128
На WAN интерфейсе шлюза сетки 192.168.0.0 адрес 213.176.225.37 255.255.255.0
Получается это внешние ИПшники от провайдеров.
Прилагаю скриншоты.

[Tonny_Bennet]

У вас в настройках указано Site-to-site, может стоит на одном настроить сервер а на другом клиент? ибо такая реализация мне напоминает чистый GRE-тунель без шифрования, где пакеты прсто маркируются на одном конце и передаются на другой где этот маркер снимается.

[satyricon13]

Tonny_Bennet, то есть просто поменять настройку VPN Gateway на одном конце сделать Remote Access (Server Role), а на другом Remote Access (Client Role). Остальные параметры оставить прежними?

[Tonny_Bennet]

satyricon13, попробуйте. И в любом случае пробуйте найти инструкцию по настройке.

[satyricon13]

Еще раз сверил все инструкцией, все нормально. Почему то в инструкции просят прописать шлюз удаленной сети на интерфесах WAN с одного и другого конца. Сделал так, в итоге один ZyWall отвалился, инета на нем не стало.
Получилось прописал на интерфейсе WAN подсети 192.168.0.0 статически данные провайдера 213.176.225.37 255.255.255.0 gate 91.202.197.68 (отвалился инет),
на интерфейсе WAN подсети 192.168.1.0 статически данные провайдера 91.202.197.68 255.255.255.37 gate 213.176.225.37 (сработало).
Сами VPN настройки впорядке, в соответствии с инструкцией.

Можно более чуть подробно объяснить про организацию IP и заворачивание маршрутов внутрь туннеля?
Я как понимаю если VPN работает, но компы сетки 192.168.0.0 не пингуются из сетки 192.168.1.0 по имени, то дело не только в маршрутах. Нужно и прописать ДНС зону, чтобы ZyWall отсылал да ДНС сервер 192.168.0.3 запросы касающиеся elpromsv.local

Роуты
192.168.1.0 255.255.255.0 gate 192.168.1.1 metric 1 на одном конце
192.168.0.0 255.255.255.0 gate 192.168.0.1 metric 1 на втором конце

Прописываю их Zywall ругается что некорректные роуты.
Могу выбрать в качестве шлюза WAN1 интерфейс, при таком раскладе не ругается. Но ситуации это не меняет.

Вообще без всяких дополнительных маршрутов, пингую с компа локалки 192.168.1.0 сервер в другой локалке по ИПшнику 192.168.0.3 и могу зайти на него как на шару, попадаю на наш сервак 192.168.0.3. Значит все таки маршрут проходит правильно?

Главная загвоздка, почему не идут пакеты куда надо и не работает ДНС в сетке 192.168.1.0

[Tonny_Bennet]

Цитата satyricon13:

Вообще без всяких дополнительных маршрутов, пингую с компа локалки 192.168.1.0 сервер в другой локалке по ИПшнику 192.168.0.3 и могу зайти на него как на шару, попадаю на наш сервак 192.168.0.3. Значит все таки маршрут проходит правильно? »

Если из одной сети проходят пинги по IP в другую и обратно - VPN заработал. Давайте разбираться с DNS серверами.

Какие адреса у серверов в каждой из сети? Какие зоны они держат? Разрешено ли серверу обрабатывать запросы из "чужой подсети"?