VPN på netværk med flere routere

Som jeg frstår dit setup, så er hver server i sit eget subnet og dermed IP mæssigt afskåret fra de andre, dermed kan det ikke lade sig gøre uden et meget avanceret og besværligt setup.

Lad mig høre om jeg har gættet rigtigt

Hele vores LAN kører i samme subnet, routernes interne ip-adresser ligger også i samme subnet. Det er bl.a. derfor jeg synes det burde kunne lade sig gøre.
Men hvis en server, eller pc eller printer for den sags skyld, ikke har ZyWall'en som gateway, kan jeg ikke se den fra VPN klienten

Det mener jeg altså at du burde kunne. Kan du ikke lave en netskitse og ligge den op så jeg kan se en tegning over setuppet, gerne med IP adresser. Jeg har adgang til hardcore netværksspacialister

Det vil være super hvis du vil kigge nærmere på det.
Jeg laver lige en skitse når jeg kommer på kontoret i morgen

http://www.techdesign.dk/net.pdf

Her er en forenklet skitse af vores setup.
Det er altså via VPN gennem router 1 vi gerne vil kunne se hele netværket, også de servere der har gateway på de andre routere.

Håber det giver mening :)

Undskyld jeg blander mig.
Jeg går ud fra SUBnet mask er 255.255.255.0
Dette betyder at alle adresser udenfor spectret 192.168.200.x vil benytte deres tilknyttede gateway altså forskellige router for hver server med mindre der oprettes statik routes for VPN adresserummet på de servere som ikke bruger Zywallen.
Problemet er en pakke som skal returneres fra eks 192.168.200.203 sendes til 192.168.200.173 hvis IP VPN'en er f. eks 192.168.201.1 eller lignende.

Pointen den når aldrig 192.168.200.171 med mindre den ved at 192.168.201.x skal sendes via denne gateway.

Håber dette giver lidt mening ;)

Et bedre alternativ er at lave routes på routerne

Prøver lige at dekryptere din besked :)

VPN routeren er på skitsen router 1, og er som sagt i samme subnet som alt andet. Jeg har ikke nogen ip adresser der ligger uden for 192.168.200.xxx

Hvad er adresserne på dine klient i din VPN tunnel?
Forhåbentlig ikke 192.168.200.xxx for så virker det normalt ikke.

Jeg prøver lige igen.
Lad os sige at din VPN router giver adresserummet på VPN 192.168.201.xxx
Så vil du godt kunne sende pakker til 192.168.200.173.
Problemet opstår når 192.168.200.173 skal svare.
Så ser serveren på IP adressen og konstaterer at den ikke ligger i det lokale net.
Her tages gateway'en 192.168.200.203 i brug i håb om at den løser problemet.
Men den kender ikke til VPN'en og dens adresse rum og kan derfor ikke løse problemet.
Dette medfører at serverne på nær den med VPN routeren som gateway ikke kan svare tilbage.
Er det mere klart?

Det tror jeg.. .
.Det vil sige at jeg skal lave nogle routes i de andre routere, der henviser 192.168.201.xxx til 192.168.200.171(VPN routeren) ?

hm..  jeg kan så heller ikke finde nogen steder hvor jeg kan definere hvilken ip-range klienten skal tildeles.
Den skriver, at Remote IP skal være 0.0.0.0 når man bruger dynamisk remote gateway.
Og det er jeg jo nødt til, for at kunne logge på fra min bærbare, uanset hvor jeg befinder mig

Ja, det er korrekt forstået omkring routes.
Hvis du kun har de 4 servere kan du også lave dem direkte her så er de fri for at vende pakkeren gennem de andre routere.

Du skulle måske også kigge på følge link punkt 18.6.2
Hvis der bliver tildelt samme adresserum:
http://dl01.zyxel.com/DownloadLibary_ShortName/ZyWALL_70/user_guide/ZyWALL%2070_4.03.pdf

Jeg er ikke helt skarp på Zyxel, da jeg kun har lavet opsætning på ganske få zyxel.

Du burde kunne se i dine policys hvilke Interne IP adresser som bliver brugt til VPN klienter.(den dynamiske adresse er i denne forbindelse din eksterne, ligesom en router både har en intern og en ekstern adresse)
Alternativt se via en sniffer hvad der sker med trafikken, men det er straks mere besværligt, hvis man ikke er skarp på dette område ;)
Måske kan du se noget ud af f.eks DCHP status eller lign.

Jeg kender teorien men i dette tilfælde ikke alt omkring opsætningen af det ;)

Så faldt 10-øren :-)

Nu fik jeg det til at virke... et par at routerne understøtter dog ikke static routes, men der har jeg bare lavet routes på serverne.

Det fungerer ikke helt som jeg forventede, da jeg ikke kan lave en regel der gælder for alle andre ip'er end det lokale på kontoret. Så jeg skal lave routes for alle subnets fra de steder hvor jeg skal logge på.
Men de primære steder, som er hjemme-adresserne for os, kan jeg lave, og det virker perfekt.

Dog kan jeg ikke gennemskue hvordan jeg kan få det til at virke med 3G-modem, da jeg (når jeg er koblet op med 3G) ikke har nogen intern IP jeg kan lave route på, men kun en WAN IP, og det virker tilsyneladende ikke. Så hvis du har ideer der kan løse det, er jeg meget lydhør overfor det.

Men ellers har du bidraget til løsningen, så tak for det :)

Jeg har lavet dette tidligere selv på et andet produkt end zyxel og der kunne jeg på forhånd definere hvilke IP segmenter der blev tildelt udfra bruger logon på VPN'en for dem uden fast IP på internettet.
Jeg har ikke sat mig nok ind zyxel til at kunne gennemskue dette.

Jeg kiggede lige alligevel og kan se der er noget i tabel 103 på side 376 i det sidste link jeg sendte omkring virtuel IP du måske kan bruge.
Det kan være her du også skal tilpasse noget i den anden ende af din VPN tunnel afhængig af klienten.

Jeg håber det gav lidt mere hjælp - god fornøjelse ;)