Знатоки, помогите пожалуйста решить проблему.

Имеется корпоративная сеть 10.0.0.0/8.
Сеть нашего филиала 10.81.101.0/24. Шлюз через который попадаем в корпоративную сеть 10.81.101.254. Файрволл со стороны филиала DFL-800.
Имеется удаленный офис с сетью 10.81.113.0/24. Файрволл со стороны удаленного офиса ZyWall 70.

Между нашим филиалом и удаленным офисом поднят ipsec-тоннель. Если в филиале и удаленном офисе ip-адреса файрволов прописывать для хостов в качестве шлюзов, то пинги между филиалом и удаленным офисом ходят.
Чтобы направить в корпоративную сеть через маршрутизатор в таблице маршрутизации DFL-800 прописал
Interface | Network | Gateway = lan | 10.0.0.0/8 | 10.81.101.254

Теоритически все с lan-интерфейса должно зарулиться в 10.81.101.254. Если пинговать из веб-интерфейса dfl-800 из Tools->ping, то вся корпоративная сеть 10.0.0.0/8 пингуется.

А теперь внимание проблемы:
1) в филиале не ходят пинги в корпоративную сеть 10.0.0.0/8 с хостов, в которых шлюзом прописан ip-адрес DFL-800(10.81.101.252). Если шлюзом прописывать маршрутизатор 10.81.101.254, то в обход dfl-ки пинги ходят;
2) из удаленного офиса не ходят пинги ни к каким хостам филиала, кроме тех, у которых шлюзом прописан 10.81.101.252.

Дополнительная информация. Возможно собака порылась где-то тут…
tracert 10.10.16.18
Трассировка маршрута к [10.10.16.18]:
1 2 ms 2 ms 2 ms 10.81.101.254
2 6 ms 3 ms 3 ms 192.168.56.73
3 3 ms 3 ms 3 ms 10.81.228.12 ……………
Как видно, появляется адрес не из подсети 10.0.0.0/8. Есть ли необходимость прописывать сеть 192.168.56.0 в IP Rules в DFL-800? И как это разумней сделать?



Uploaded with ImageShack.us

Покажите Status > Routes на DFL.
192 сеть вполне может быть промежуточной кошачьей, ничего особо страшного нет. Основной момент - маршрут на 10/8 не должен перекрывать маршрут на вашу сеть lannet.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вот такие вот Routes

Flags Network Interface Gateway Local IP Metric
D 10.81.113.0/24 ipsec-тоннель 0
10.81.101.0/24 lan 100
10.0.0.0/8 lan 10.81.101.254 5
M 0.0.0.0/0 ADSL_Utel 90
0.0.0.0/0 ADSL_Utel 90
0.0.0.0/0 wan1 100
0.0.0.0/0 wan1 100

Маршрут 10/8 не должен перекрывать lannet-ный, сделайте ему тоже метрику 100.

Почему у вас дефолтроутов аж 4?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Метрику для 10/8 изменил.
Лишние роуты подрезал.
Вот что получилось:
Flags Network Interface Gateway Local IP Metric
D 10.81.113.0/24 ipsec-тоннель 0
10.81.101.0/24 lan 100
10.0.0.0/8 lan 10.81.101.254 100
0.0.0.0/0 ADSL_Utel 100
0.0.0.0/0 wan1 100

Пинги из Tools->Ping как ходили так и ходят. Хосты(у которых dfl-ка прописана в качестве шлюза) по прежнему не пингуют корпоративную сеть.

Создайте выше всех остальных IP-правило

NAT lan lannet wan 10.0.0.0/8 ping-outbound(или all-services)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А почему опять 2 дефолтроута? У вас wan1net стоит 0.0.0.0/0 ?

Попробуйте запустить пинг с клиента и смотрите в Status > Connections и Status > Logging, что происходит.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В Connections вот такой вот ситуэйшн:
FIN_RCVD TCP lan:10.81.101.103:1526 core:10.81.101.252:80 56
FIN_RCVD TCP lan:10.81.101.103:1524 core:10.81.101.252:80 40
PING ICMP lan:10.81.101.103:512 lan:10.10.16.18:512 6
TCP_OPEN TCP lan:10.81.101.103:1529 core:10.81.101.252:80 262144

В логах вот что:
2010-08-17
12:17:51 Warning RULE
6000051 Default_Rule EIGRP lan
10.81.101.254
224.0.0.10
ruleset_drop_packet
drop
ipdatalen=46

А добавьте в вашу схему плиз еще указание, какие порты DFL куда смотрят. Вам все понятно, а со стороны очень тяжело вникать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вот как-то так


Uploaded with ImageShack.us

А каким боком пинг 10.81.101.103 > 10.10.16.18 затрагивает DFL ?

Вообще говоря, надеюсь в параметрах IPsec между DFL и ZyWall у вас со стороны DFL указана сеть 10.0.0.0/8 ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Всем спасибо)
Вобщем немного перетосовали сеть, чтоб все выглядело разумно, но все равно подсети 101 и 113-ая видели друг друга, а в 10/8 не ходило из 113-ой сетки. Весь затык оказался в отсутствии разрешающего правила в access-lists в Cisco-1600.