Товарищи приветствую!
Итак что мы имеем:
1 сеть : 192.168.0/24 шлюз на Zywall 100 - 192.168.0.1 (DHCP, VPN), AD DNS Windows 2008 - 192.168.0.3
2 сеть : 192.168.1/24 шлюз на Zywall 100 - 192.168.1.1 (DNS, DHCP, VPN).

Выделенные ИПшники от провайдеров, на WAN интерфейсе Zyxell поднимается VPN для объединения подсетей.

Статистика компа из сетки 192.168.1.0.

C:\Users\1>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : BL_ADMIN
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : elpromsv.local

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . : elpromsv.local
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller #2
Физический адрес. . . . . . . . . : 90-2B-34-09-4C-51
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.33(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 6 августа 2012 г. 15:39:40
Срок аренды истекает. . . . . . . . . . : 8 августа 2012 г. 15:39:40
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 192.168.1.1
192.168.0.3
NetBios через TCP/IP. . . . . . . . : Включен

C:\Users\1>ping 192.168.0.3

Обмен пакетами с 192.168.0.3 по с 32 байтами данных:
Ответ от 192.168.0.3: число байт=32 время=5мс TTL=124
Ответ от 192.168.0.3: число байт=32 время=5мс TTL=124
Ответ от 192.168.0.3: число байт=32 время=5мс TTL=124
Ответ от 192.168.0.3: число байт=32 время=4мс TTL=124

Статистика Ping для 192.168.0.3:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 4мсек, Максимальное = 5 мсек, Среднее = 4 мсек

C:\Users\1>tracert 192.168.0.3

Трассировка маршрута к sw0-3.baza35.net [192.168.0.3]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.1.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 4 ms 4 ms 4 ms sw0-3.baza35.net [192.168.0.3]

Трассировка завершена.

C:\Users\1>nslookup 192.168.0.3
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

╚ь*: sw0-3.baza35.net
Address: 192.168.0.3


C:\Users\1>nslookup servereps
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

*** UnKnown не удалось найти servereps: Non-existent domain


Прописал на обоих шлюзах роуты 192.168.1.0 255.255.255.0 gate 213.176.225.37 (это внешний Ипшник на другом конце туннеля). В обратную сторону тоже прописал 192.168.0.0 255.255.255.0 gate 91.202.197.68

Главная загвоздка, почему не идут пакеты куда надо и не работает ДНС в сетке 192.168.1.0

Как видим при просмотре nslookup сервака servereps (192.168.0.3) из сети 192.168.1.0 отвечает сервер провайдера, но Ипшник выдается правильный.

Как подружить ДНС на Zyxell 192.168.1.1, чтобы использовался также ДНС с 2008 сервака (192.168.0.3) из удаленной сети и резолвил локальные адреса направленные из сетки 192.168.1.0 в сетку 192.168.0.0?

Прописал на обоих шлюзах роуты 192.168.1.0 255.255.255.0 gate 213.176.225.37 (это внешний Ипшник на другом конце туннеля). В обратную сторону тоже прописал 192.168.0.0 255.255.255.0 gate 91.202.197.68 »
Для маршрутизации пакетов сеть, расположенную по ту сторону VPN-туннеля нужно для данного маршрута указывать шлюзом не IP-адрес устройства, который этот туннель создаёт, а внутренний адрес того конца тоннеля (или само коммутируемое соединения тоннеля).

El Scorpio, спасибо за подсказку.
Тогда получается на одном шлюзе у меня будет:
Роут на шлюзе 0ой сетки: 192.168.1.0 255.255.255.0 gate будет 192.168.1.1 metric 1
Роут на шлюзе 1ой сетки: 192.168.0.0 255.255.255.0 gate будет 192.168.0.1 metric 1
Сами шлюзы почемуто указывают, при добавлении такого роута, что он некорректен.
Можно еще указать вместо названия шлюза интерфейсы (но самого виртуального тоннеля в списке интерфейсов ессно нет), можно лишь указать интерфейс WAN1 на котором поднимается туннель.

Загвоздка еще вот в чем, как подружить ДНС шлюза Zyxell 192.168.1.1 с ДНС сетки 192.168.0.0 (ДНС сервер на КД по адресу 192.168.0.3).
Пытаюсь ввести в домен комп находящийся в сетке 192.168.1.1, пишет что не может найти SRV запись. Как сделать чтобы ДНС передавалось либо на 192.168.1.1, либо чтобы для разрешения имени компа из сетки 192.168.0.0/24 запрос резолвил сервер 192.168.0.3.

Вообще пока вручную не прописал MX-запись для сервера 192.168.0.3 на шлюзе 192.168.1.1 сервер по имени servereps не пинговался и nslookup отвечал сервер провайдера. Как видно в первом сообщении.

Как прописал стало:

C:\Users\1>nslookup servereps
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

╚ь*: servereps.elpromsv.local
Address: 192.168.0.3


C:\Users\1>ping servereps

Обмен пакетами с servereps.elpromsv.local [192.168.0.3] с 32 байтами данных:
Ответ от 192.168.0.3: число байт=32 время=4мс TTL=124
Ответ от 192.168.0.3: число байт=32 время=36мс TTL=124
Ответ от 192.168.0.3: число байт=32 время=8мс TTL=124
Ответ от 192.168.0.3: число байт=32 время=4мс TTL=124

Статистика Ping для 192.168.0.3:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 4мсек, Максимальное = 36 мсек, Среднее = 13 мсек

satyricon13, вы пояснили что у вас есть 2 сети но не сказали какая сеть используется для создания тунеля. Какие адреса у интерфейсов когда запущен VPN?

VPN поднимает сама железка ZyWall 100 к такой же железке на другом конце.
Вкладка VPN Gateway показывает ИПшники на интерфейсе, они почему то совпадают со внешними Ипшниками.
На WAN интерфейсе шлюза сетки 192.168.1.0 адрес 91.202.197.68 255.255.255.128
На WAN интерфейсе шлюза сетки 192.168.0.0 адрес 213.176.225.37 255.255.255.0
Получается это внешние ИПшники от провайдеров.
Прилагаю скриншоты.
http://s45.radikal.ru/i110/1208/78/cb547a3ce232.jpg (http://s45.radikal.ru/i110/1208/78/cb547a3ce232.jpg.html)
http://s61.radikal.ru/i171/1208/0f/87acfbaf3dc8t.jpg (http://radikal.ru/F/s61.radikal.ru/i171/1208/0f/87acfbaf3dc8.jpg.html)

У вас в настройках указано Site-to-site, может стоит на одном настроить сервер а на другом клиент? ибо такая реализация мне напоминает чистый GRE-тунель без шифрования, где пакеты прсто маркируются на одном конце и передаются на другой где этот маркер снимается.

Tonny_Bennet, то есть просто поменять настройку VPN Gateway на одном конце сделать Remote Access (Server Role), а на другом Remote Access (Client Role). Остальные параметры оставить прежними?

satyricon13, попробуйте. И в любом случае пробуйте найти инструкцию по настройке.

Еще раз сверил все инструкцией, все нормально. Почему то в инструкции просят прописать шлюз удаленной сети на интерфесах WAN с одного и другого конца. Сделал так, в итоге один ZyWall отвалился, инета на нем не стало.
Получилось прописал на интерфейсе WAN подсети 192.168.0.0 статически данные провайдера 213.176.225.37 255.255.255.0 gate 91.202.197.68 (отвалился инет),
на интерфейсе WAN подсети 192.168.1.0 статически данные провайдера 91.202.197.68 255.255.255.37 gate 213.176.225.37 (сработало).
Сами VPN настройки впорядке, в соответствии с инструкцией.

Можно более чуть подробно объяснить про организацию IP и заворачивание маршрутов внутрь туннеля?
Я как понимаю если VPN работает, но компы сетки 192.168.0.0 не пингуются из сетки 192.168.1.0 по имени, то дело не только в маршрутах. Нужно и прописать ДНС зону, чтобы ZyWall отсылал да ДНС сервер 192.168.0.3 запросы касающиеся elpromsv.local

Роуты
192.168.1.0 255.255.255.0 gate 192.168.1.1 metric 1 на одном конце
192.168.0.0 255.255.255.0 gate 192.168.0.1 metric 1 на втором конце

Прописываю их Zywall ругается что некорректные роуты.
Могу выбрать в качестве шлюза WAN1 интерфейс, при таком раскладе не ругается. Но ситуации это не меняет.

Вообще без всяких дополнительных маршрутов, пингую с компа локалки 192.168.1.0 сервер в другой локалке по ИПшнику 192.168.0.3 и могу зайти на него как на шару, попадаю на наш сервак 192.168.0.3. Значит все таки маршрут проходит правильно?

Главная загвоздка, почему не идут пакеты куда надо и не работает ДНС в сетке 192.168.1.0

Вообще без всяких дополнительных маршрутов, пингую с компа локалки 192.168.1.0 сервер в другой локалке по ИПшнику 192.168.0.3 и могу зайти на него как на шару, попадаю на наш сервак 192.168.0.3. Значит все таки маршрут проходит правильно? »

Если из одной сети проходят пинги по IP в другую и обратно - VPN заработал. Давайте разбираться с DNS серверами.

Какие адреса у серверов в каждой из сети? Какие зоны они держат? Разрешено ли серверу обрабатывать запросы из "чужой подсети"?

Сетка 192.168.0.0 в ней DNS сервер 192.168.0.3 (контроллер домена на Windows 2008, зона elpromsv.local). Второй ДНС это 192.168.0.1 (это ZyWall USG 100 маршрутизаторо и шлюз).
Сетка 192.168.1.0 в ней DNS сервер 192.168.1.1 (это ZyWall USG 100 маршрутизаторо и шлюз). Второй 192.168.0.3.
Пинги из сети 192.168.0.0 в сеть 192.168.1.1 идут.
В свойствах зоны elpromsv.local стоит "Только безопасные". В серверы имен я добавил 192.168.1.1. В другой вкладке разрешил передачу зон на 192.168.1.1
В свойствах DNS сервера servereps прописал корневые ссылки прописал "192.168.1.1", а также сервер пересылки "192.168.1.1". Пишет невозможно разрешить.
Настройки сервака.

C:\Users\Администратор.SERVEREPS.000>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : ServerEPS
Основной DNS-суффикс . . . . . . : elpromsv.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : elpromsv.local

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gig
it #2
Физический адрес. . . . . . . . . : B4-99-BA-AD-AF-86
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.3(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
DNS-серверы. . . . . . . . . . . : 192.168.0.3
192.168.0.1
NetBios через TCP/IP. . . . . . . . : Включен



C:\Users\Администратор.SERVEREPS.000>ping 192.168.1.1

Обмен пакетами с 192.168.1.1 по с 32 байтами данных:
Ответ от 192.168.1.1: число байт=32 время=4мс TTL=61
Ответ от 192.168.1.1: число байт=32 время=3мс TTL=61
Ответ от 192.168.1.1: число байт=32 время=4мс TTL=61
Ответ от 192.168.1.1: число байт=32 время=3мс TTL=61

Статистика Ping для 192.168.1.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 3мсек, Максимальное = 4 мсек, Среднее = 3 мсек

C:\Users\Администратор.SERVEREPS.000>tracert 192.168.1.1

Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.0.1
2 * * * Превышен интервал ожидания для запроса.
3 6 ms 5 ms 7 ms 192.168.1.1

Трассировка завершена.

C:\Users\Администратор.SERVEREPS.000>nslookup 192.168.1.1
╤хЁтхЁ: sw0-3.baza35.net
Address: 192.168.0.3

*** sw0-3.baza35.net не удалось найти 192.168.1.1: Non-existent domain



Опять как видим по nslookup отвечает ДНС провайдера.

DNS сервер 192.168.0.3 (контроллер домена на Windows 2008, зона elpromsv.local) »

Я не специалист в настройке AD но по-моему я где-то слышал что нельзя совмещать роль контроллера домена с ролью DNS-сервера на одной машине.

А теперь по порядку. У вас в сети 192.168.0.0/24 на компьютере с адресом 192.168.0.3 настроен DNS-сервер, хранящий зону elpromsv.local. Хочется посмотреть на настройки зоны если это возможно. Также шлюз этой подсети 192.168.0.1 является DNS сервером. Какие функции вы возлагаете на него? Что он делает?

C:\Users\Администратор.SERVEREPS.000>nslookup 192.168.1.1
╤хЁтхЁ: sw0-3.baza35.net
Address: 192.168.0.3
*** sw0-3.baza35.net не удалось найти 192.168.1.1: Non-existent domain »

Вы с компьютера 192.168.0.3 пытаетесь разрешить имя по адресу из сети 192.168.1.0/24. Компьютер должен посмотреть на первом DNS-сервере (192.168.0.3) и на втором (192.168.0.1). Как мы видим из ответа он посмотрел на первом сервере, а т.к. в нём ответа не нашёл сервер переслал запрос провайдерскому DNS. Провайдер уж точно не знает что такое 192.168.1.1 в вашем запросе поэтому и пришёл ответ что домена не существует.

Скажите кто в сети 192.168.1.0/24 умеет разрешать имена компьютеров этой сети? Сделайте nslookup с любого компьютера сети 192.168.1.0/24 к любому компьютеру этой же сети. Что и кто вам ответит?

Прилагаю срины с настройками ДНС зоны и сервера в архиве.
192.168.0.1 ZyWall USG 100 маршрутизатор выходит в инет, на интерфейсе смотрящем в локалку у него настроены ДНС 192.168.0.3 и 192.168.0.1
В 192.168.1.0/24 разрешает такая же железка ZyWall USG 100

C:\Users\1>tracert 192.168.1.67

Трассировка маршрута к ULATISHEVICH [192.168.1.67]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс ULATISHEVICH [192.168.1.67]

Трассировка завершена.

C:\Users\1>nslookup ULATISHEVICH
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

*** UnKnown не удалось найти ULATISHEVICH: Non-existent domain

C:\Users\1>nslookup 192.168.1.67
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

*** UnKnown не удалось найти 192.168.1.67: Non-existent domain

C:\Users\1>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : BL_ADMIN
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller #2
Физический адрес. . . . . . . . . : 90-2B-34-09-4C-51
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.10(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен

C:\Users\1>nslookup ULATISHEVICH
╤хЁтхЁ: UnKnown
Address: 192.168.1.1
*** UnKnown не удалось найти ULATISHEVICH: Non-existent domain
C:\Users\1>nslookup 192.168.1.67
╤хЁтхЁ: UnKnown
Address: 192.168.1.1
*** UnKnown не удалось найти 192.168.1.67: Non-existent domain »

Получается, что у вас в сети 192.168.1.0/24 нет сервера доменных имён, позволяющего разрешать IP адреса в имена компьютеров, а точнее 192.168.1.1 не умеет этого делать.

А когда вы вызываете

C:\Users\1>tracert 192.168.1.67
Трассировка маршрута к ULATISHEVICH [192.168.1.67]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс ULATISHEVICH [192.168.1.67]
Трассировка завершена. »

Происходит разрешение адреса в имя путём netbios запроса.

192.168.0.1 ZyWall USG 100 маршрутизатор выходит в инет, на интерфейсе смотрящем в локалку у него настроены ДНС 192.168.0.3 и 192.168.0.1 »

Почему бы вам не настроить хранение основной зоны доменов на ваших маршрутизаторах и форвардинг запросов на DNS серверы провайдера, если зоны чужие?

Почему бы вам не настроить хранение основной зоны доменов на ваших маршрутизаторах и форвардинг запросов на DNS серверы провайдера, если зоны чужие?
Интересная мысль, только вот как это сделать и переатщить зону с 2008 сервера на Zyxel в котором вкладка ДНС имеет только вот такие настройки.
И как туда запехать зону с 2008 сервака?)

http://i080.radikal.ru/1208/2e/5b78436dbbfbt.jpg (http://radikal.ru/F/i080.radikal.ru/1208/2e/5b78436dbbfb.jpg.html)

Интересная мысль, только вот как это сделать и переатщить зону с 2008 сервера на Zyxel в котором вкладка ДНС имеет только вот такие настройки.
И как туда запехать зону с 2008 сервака?) »

Насколько мне известно, DNS-сервер Win2008 добавляет в запись локальной зоны имена всех компьютеров зарегистрированных в домене. На Zyxel, как мне кажется, простая реализация DNS-сервера и все записи туда нужно будет добавить руками. Т.е. судя по скриншоту в верхнем поле Address/PTR добавить 2 типа записей для каждого компьютера: прямую - разрешающую имя компьютера в адрес, и обратную - разрешающую адрес в имя компьютера. Форвардинг на DNS серверы провайдеров вроде бы настроен. И обмен между DNS-серверами зонами двух сетей настроить наверное не получится, опять же из-за ограниченного функционала.

Я не специалист в настройке AD но по-моему я где-то слышал что нельзя совмещать роль контроллера домена с ролью DNS-сервера на одной машине. »
Очень "не специалист".
Без службы доменных имён домен работать в принципе не можетВы с компьютера 192.168.0.3 пытаетесь разрешить имя по адресу из сети 192.168.1.0/24. Компьютер должен посмотреть на первом DNS-сервере (192.168.0.3) и на втором (192.168.0.1). Как мы видим из ответа он посмотрел на первом сервере, а т.к. в нём ответа не нашёл сервер переслал запрос провайдерскому DNS. Провайдер уж точно не знает что такое 192.168.1.1 в вашем запросе поэтому и пришёл ответ что домена не существует. »

DNS-серверы. . . . . . . . . . . : 192.168.0.3
192.168.0.1 »
Совет.
В настройках сети указать только один DNS-сервер - 192.168.0.3
На сервере для DNS-сервера указать следующие родительские DNS - DNS-сервер из основной сети и DNS-сервер маршрутизатора (dns-прокси для серверов провайдера). В этом случае сервер данной сети при обнаружении неизвестного имени обратится сначала к серверу основной сети, а уже потом будет искать это имя в интернетах

Очень "не специалист".
Без службы доменных имён домен работать в принципе не может »
... про неспециалиста я согласен :)

В настройках сети указать только один DNS-сервер - 192.168.0.3
На сервере для DNS-сервера указать следующие родительские DNS - DNS-сервер из основной сети и DNS-сервер маршрутизатора (dns-прокси для серверов провайдера). В этом случае сервер данной сети при обнаружении неизвестного имени обратится сначала к серверу основной сети, а уже потом будет искать это имя в интернетах »

Просто уточнить хочу: при запросе доменного имени запрос пойдёт на 192.168.0.3 и если этот сервер не знает о имени запрос нужно перенаправить на сервер провайдера, а не на маршрутизатор сети (192.168.0.1), который всё равно его перешлёт на сервер провайдера. Что бы просто исключить ненужное звено цепи запросов.

Совет.
В настройках сети указать только один DNS-сервер - 192.168.0.3
На сервере для DNS-сервера указать следующие родительские DNS - DNS-сервер из основной сети и DNS-сервер маршрутизатора (dns-прокси для серверов провайдера). В этом случае сервер данной сети при обнаружении неизвестного имени обратится сначала к серверу основной сети, а уже потом будет искать это имя в интернетах »
То есть в настройках ДНС сервера 192.168.0.3 указать сервер пересылки 192.168.1.1.
А на ДХЦП сделать чтобы клиентам выдавался только ДНС 192.168.0.3 ?

То есть в настройках ДНС сервера 192.168.0.3 указать сервер пересылки 192.168.1.1. »
нет. сервер провайдера.

А на ДХЦП сделать чтобы клиентам выдавался только ДНС 192.168.0.3 ? »
да.

P.S. По-моему вы так и не поняли как и что должно работать. Попробуйте ещё раз сформулировать задачу: кто кого должен пинговать и из какой сети какие записи должны резолвиться.