Ситуация такая есть два маршрутизатора один ZYWALL 35EE второй DL-804HW , соеденены между собой витой парой напрямую WAN-WAN.
Настроил VPN тунелирование работает нормально.
За ZyWALL находиться подсеть 192.168.1.x
За D-Link находиться подсеть 192.168.0.x
WAN портам назначины адреса 192.168.10.1 и 192.168.10.2 соответственно.

Проблема в следующем при успешно установленном VPN соединении пинги в подсть за ZyWALL проходят нормально, пинги же в подсеть D-Link не проходят. Причем из подсети за ZyWALL пингуеться WAN порт D-Link и сам D-Link с адресом 192.168.0.20 тоже пингуется. Предпологаю что проблема в настройке firewall на D-Link.

Заранее благодарю за помощь

DI-804HV не отключается НАТ, со всеми вытекающими.
У вас два варианта решения:
1. Для ваших потребностей (в текущей организации связи, именно РРТР) используйте DFL серию
(аналог зювалов, на мой взгляд более удобный, чем зю)

2. Перейти на IPSec туннелирование, проблемы исчезнут, 804-й для этого и сделан собсно.

Если вас не затруднит пожалуйста объясните подробнее как перейти на IPSec туннелирование

Потому что вроде оно у меня и настроено, если вы имеете в виду настройки типа:
Encapsulation mode
Active protocol
Encription Algorithm
Authorization Algorithm
SA Life Time
PFS

Если у вас уже настроен IPSec туннель, то следует определиться с такими вещами:
-- У 804-го нет правила блокирующего пинги по IPSec трубе внутрь сети
(при дефолтных настройках точно)
-- Есть ли маршрут на самом ЗЮ в подсеть 804-го?
-- Пингует ли сам ЗЮ внутренний интерфейс 804-го
-- Является ли 804-й шлюзом по дефолту для своей сети внутренней?

Спасибо что пытаетесь помоч решить проблему.
1) Маршрут на ЗЮ есть, поскольку пингуется внешний WAN интерфейс 804 а также интерфейс самого 804 (WAN: 10.0.0.1 ; Dlink804:192.168.0.20)
2)См ЗЮ пингуется отлично как и подсеть за ним
3)804ый является шлюзом для всех компьютеров внутри сети за ним, как я понимаю если бы он не был шлюзом я бы не смог пропинговать ЗЮ и подсеть за ним

Могут ли настройки faerwall на 804ом как то влиять на доступ к подсети за ним?

Saxer14
- Залейте в DI-804HV последнюю прошивку
- сохраните конфиг 804-го, затем сброс его в дефолт и сконфигурите заново,
не трогая правила FW и прочее, главное чтобы тоннель поднялся

Если не поможет, то приведите подробный конфиг туннеля,
по принципу viewtopic.php?p=294024#294024
кстати довольно веселый топик

Настройки на DI-804HV
---------------------
VPN [x] Enable
Max. number of tunnels - 1
ID - 1
Tunnel Name - "T1"
Method - IKE
---------------------
Aggressive Mode - Disable
Local Subnet - 192.168.0.0
Local Netmask - 255.255.255.0
Remote Subnet - 192.168.1.0
Remote Netmask - 255.255.255.0
Remote Gateway - 192.168.10.2
Preshare Key - "789456123"
Auto-reconnect - Disable
---------------------
IKE Proposal
ID - 1
Proposal Name - "1"
DH Group - Group2
Encrypt algorithm - MD5
Auth algorithm - SHA1
Life Time - 28800
Life Time Unit - Sec
IKE Proposal index - "1" (активный индекс)
---------------------
IPSEC Proposal
ID - 1
Proposal Name - "1"
DH Group - Group2
Encap protocol - ESP
Encrypt algorithm - DES
Auth algorithm - MD5
Life Time - 28800
Life Time Unit - Sec
IPSec Proposal index - "1" (активный индекс)
=====================

Соответственно на зюхеле то же самое т.к. VPN поднимается нормально. Пинги не идут в подсеть длинка. Прошивка стоит последняя, вышеописанные настройки были сделаны после сброса длинка на новой прошивке.
Есть еще идеи? )

была подобная проблема на ДЛинках 824-824, просто тупо прописал статичные постоянные маршруты на компах в обеех сетях, и всё работает и по сей день

Если одна сеть пингует другую, то с маршрутами все в порядке. То, что вы описываете довольно странно. Такое поведение возможно, если например ZyXEL удалённую сеть DI-804 пускает в свою сеть через NAT. Либо в правилах на ZyXEL разрешающее правило в одну сторону есть, а в другую нет.

Я не знаком с ZyWALL'ами, поэтому могу только предполагать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

фаирвол 100% нипричём, ибо ВПН подразумевает полное соединение сетей в обход правл файрвола

прикол в том что у меня тоже одна сетка пинговала другую, но в сетевые папки компы на заходили даже по IP адресм, ну или ещё что нибуть, например RAdmin по сети тоже не получалось запустить, пока не прописал статичные маршруты
мне типа объясняли ХММММ... разный транспортный уровень и прочий бред
а я так понял что пакет приходящий из отдалённой ВПН сети ответом возвращался не в ВПН а через НАТ в интернет (может это конешно и бред) , статичный маршрут указывает что валить, как валить и куда валить

Знаете. Очень хорошо, что вам помогло прописывание маршутов. Но есть и иные причины неисправностей. А вы упорно уже в которой теме пишете об одном и том же.

Неверное утверждение. На нормальных файрволлах правила прохождения трафика прописываются явно в каждую сторону.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

факт остаётся фактом, помогло не только мне, но и ещё людям, которые впринципе и советовали мне когда то
по поводу файрвола - Вы правильно сказали "На нормальных", типа как на DFL210, но не как на 804HV, на сколько я понимаю тут обычный ВПН трубой, я не вижу тут ни каких настроек которые явно могли бы что то не пропускать через ВПН

С этим согласен. DI-804 делает это тупо, без всяких изысков.

Потому и предполагаю, что проблема может быть в настройках на ZyWALL'е.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

посмотри TRACERT _IP любого компа_ сначала из 1ой сетки в 0уй потом наоборот, там уже видно будет как пакет идёт и на чём затыкается

_________________
2 компа (AMD PhenomII x4 955 и AMD Athlon x2 5000), нетбук eMachines
DIR-655, DNS-323, DGS-1005D
WD TV Live HDMedia Player

DI-804 не блокирует пакеты из IPSEC. Возможно, дело и не в настройках Зюкселя, а в несовместимости устройств. Лучше, конечно, попробовать вместо 804 поставить такой же Zywall и посмотреть, что изменится.