а правило вроде как отрабатывает

маршруты

То, что у вас ругань в логах на пинг - неудивительно, т.к. icmp не разрешен. Говорил же я делать сервис all-services.

Status-Routes хороший. Кроме того, что wan1net и wan2net совершенно левые, т.е. неверные. Как и все христиане, впрочем. Так что компания не самая плохая.
Но на нашу проблему это не влияет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ну с icmp увидел косяк, сейчас смотрю трассировка пошла до шлюза, дальше не идет -ну это уже zyxel откидывает, сейчас буду смотреть

YuriAM спасибо работает схема, но при такой схеме происходит следующее у части пользователей подсети 192.168.100.0 пропадает Интернет(перестает пинговаться шлюз Zyxel), как только я выдергиваю кабель, который соединяет порт ответственный за маршрутизацию между сетями все начинает работать. Такое ощущение,что образуется кольцо.

Тут вам вряд ли возможно помочь, поскольку ваша топология не известна.

Можно лишь сказать, что предложенное решение не может влиять на вашу новую напасть, т.к. IP- правило касается только исходящего трафика из сети 101 в сеть 100.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

вот и я не пойму

Хотите разобраться - рисуйте подробную схему вашей сети с указанием всех устройств, соединений, портов, сетей и адресов.

Можно нарисовать от руки и сфотографировать или сканировать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

вообщем обе сетки заходят в один свич, адресные пространства разные, я на Zyxel настроил порт под шлюз для работы с сетью 192.168.101.0 и соответственно тоже с этого порта втыкаю в этот же свич - и тут начинается чехарда. Инет встает, Zywall не пингуется. Хорошо я нарисую.

А вообще, какая необходимость в ZyWall и в наличии двух разных сетей?

Или, к примеру, почему бы не выкинуть ZyWall и реализовать всё на DFL?

Или, напротив, сделать всё на ZyWall? Поскольку DFL-800 и ZyWall USG 50 устройства примерно одного класса. В чем-то одно лучше, в чем-то другое.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

все это понятно, но 1. это две разные организации, 2 интернет каналы то же разные, а на Zyxel у меня уже два WAN порта занято. DFL используется чисто для раздачи интернета для подсети 192.168.101.0 и построения VPN канала. Мы как бы находимся физически в одной сети, свичи общие, разделение только по адресному пространству, так как в нашей сетке им делать нечего. Раньше стоял комп с множеством сетевых карт с Керио Контрол и разруливал все эти подсети, мы ходили к ним, они к нам по определенным нуждам. Сейчас мы Керио снесли и купили Zywall соответственно настроили под себя. Сейчас возникла задача опять восстановить связь между подсетями - я подумал что что вообщем разницы никакой нет вместо Керио используется Zywall вот и все, но возникла не понятная ситуация с потерей интернета. Хотя я вот подумал может быть сконфигурировать еще один порт на Zyxel и подсоединить к нему DFL, чтобы исключить его из общей сети и пускать траффик через Zywall, может быть это было более правильно. Хотя ситуация не понятна - свич по сути это обычный переключатель, здесь больше проблема в настройках роутеров.

Одно утверждение противоречит другому.

На общих неуправляемых коммутаторах, находясь в разных подсетях, можно элементарно получить доступ в другую сеть, просто настроив адрес из этой подсети.

Если сети должны быть разделены, то они должны быть разделены физически, без наличия общего оборудования. Либо это общее оборудование заперто в шкафах и на нем настроены VLAN-ы. А взаимный обмен трафиком четко регламентирован и идет через файрволл с соответственно настроенными правилами.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Все это справедливо, я с Вами полностью согласен. Но, к сожалению так как учреждения государственные, то и финансирование как вы понимаете то же. У нас возможностей больше по оборудованию, чем у другой организации, поэтому мы так и работаем.

Я так понимаю эта проблема будет периодически вылазить так как сети физически общие.Да кстати коммутаторы управляемые, по крайней мере 2. Может быть и с ними стоит повозится.

развести на вланы - и будут счастье

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку