Добрый день. Используется Kerio. Дилер привез свою железку - TP-Link TL-ER6120, данная железка находиться за Kerio и получила от нас IP-адрес, а далее раздает интернет своим компам. На TP-Link поднят VPN-туннель (143269). Необходимо прописать правила на Kerio, чтобы траффик по этому туннелю ходил туда и обратно (спецам дилера нужен доступ к машинам, которые подключены к TP-Link).
Создал правило - 143270, туннель поднялся, но траффик не ходит. Как сформировать правило не понимаю. Для IP-шника TL-ER6120 пробовал все разрешать, не получается.

вынести в dmz пробовали?

Интерфейсов всего два, я так понимаю для DMZ нужен отдельный интерфейс. К тому же в процессе "тыка" получилось настроить все правильно (дилер утверждает, что несколько дней все работало как надо), но что потом случилось не знаю. Т.е. можно настроить и без DMZ, просто у меня нет понимания, что и как, а дилер отказывается разбираться.

К тому же в процессе "тыка" получилось настроить все правильно (дилер утверждает, что несколько дней все работало как надо), но что потом случилось не знаю. »
может дело и не в вашем шлюзе, вы же не знаете что они себе там понаставили.

На TP-Link следующие настройки - 143328. Дилер от себя должен пропинговать - 10.128.94.11, но пинги не проходят. Я должен суметь пропинговать IP 172.18.0.254, пока тоже безрезультатно. TP-Link имеет IP-адрес 192.168.111.103, к нему подключены компьютеры, все они имеют доступ в интернет (ip-шники получили из подсети 10.128.94.х), к ним есть доступ через TeamViewer, но нужен доступ через VPN. Не могу сообразить как настроить правила? Например, что мне указывать в источнике, а что в назначении?

какая-то каша.
если туннель есть, а траффик внутри не ходит - проблема не в керио.
а вот то, что вы ещё как-то туда должны получить доступ - об этом нет ни слова.

итого:
1. физическая схема включения.
2. логика traffic flow

У меня тоже подозрение, что дело не в Kerio. Правило для дилера одно (http://forum.oszone.net/attachment.php?attachmentid=143270&d=1486466872). От Kerio идет провод на "центральный" свитч, оттуда провод к другому зданию в следующий свитч и уже отсюда непосредственно в wan TP-Link дилера. Все свитчи обычные. На Kerio специально ничего не запрещал, в принципе все по умолчанию.

Вот что отвечает дилер:


При поднятом туннеле с нашей стороны оборудование дилера не видно при условии что TPLink подключен за оборудованием дилера.

Если пинговать с обратной стороны в нашу сеть внутри туннеля до 172.18.0.254 трафик начинает ходить в обе стороны.

Проверьте, если пинг ходит, настраивайте правило или батник.

на мои вопросы ответьте.

cameron, Правило для дилера одно. От Kerio идет провод на "центральный" свитч, оттуда провод к другому зданию в следующий свитч и уже отсюда непосредственно в wan TP-Link дилера. Все свитчи обычные. На Kerio специально ничего не запрещал, в принципе все по умолчанию.

сложно.
ок.
"дилер" должен поднять site-to-site VPN с учётом того, что один из ендпоинтов за НАТом и должен быть инициатором.
это поддерживается на 99% устройств.
далее от вашего керио ничего не зависит.

Все получилось. Оказалось на kerio создал правило от IP 89.108.90.28-любой траффик-перенаправление на 192.168.111.103 и все заработало.