Форвардинг между подсетями

[LiOH13]

Добрый день, коллеги!
Есть Zentyal 3,5. Поднят DHCP.
Сетевой адаптер ETH0 имеет адрес 192.168.3.173, сетевой адаптер ETH1 имеет адрес 172.16.55.1
DHCP настроен на адаптере ETH1.
Компьютер в подсети 172.16.55.0/24 получил адрес 172.16.55.40. С него пингуется его шлюз (172.16.55.1), интерфейс ETH0 и подсеть 192.168.3.0.
Из подсети 192.168.3.0 пингуется 192.168.3.173, пингуется 172.16.55.1, а сам компьютер с адресом 172.16.55.40 не пингуется.
В файрволе везде поставил разрешающие правила всё всем.
Что ещё я не сделал? Или может лишнего чего навоял?

[bubnov-pi]

Если хоть один из интерфейсов является "внешним", то доступ будет только в одну сторону, т.к. узлы "внутренней" сети будут сидеть за NAT (для узлов сети 192...0 все подключения от узлов сети 172...0 будут видны как подключения с 192.168.3.173).
Штатными средствами Zentyal, на сколько мне известно, "объединить" две сети описываемым способом не получится - надо настраивать маршрутизацию, при чём как на узлах сети 192, так и на маршрутизаторе.

[LiOH13]

На узлах в сети 192 маршрут есть.
На железке Zentyal нужно руками в командной строке маршруты прописать или в веб-интерфейсе?

[bubnov-pi]

В вэбке нет такого функционала. Или я его не нашёл. В схожей ситуации использовал консоль и "ip route add ..."

[LiOH13]

Прописал: route add -net 172.16.55.0 netmask 255.255.255.0 gw 172.16.55.1 dev eth1
route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.3.173 dev eth0

Так же включено net.ipv4.ip_forward = 1

Ничего не изменилось...

[rubic]

Пингуйте 172.16.55.40 с самого Zentyal. При отсутствии результата отключите на 172.16.55.40 антивирус и сетевой экран. Никакие маршруты вам не нужны. Они уже есть просто по факту наличия интерфейсов, их адресов и сетей.

[bubnov-pi]

Пингуйте 172.16.55.40 с самого Zentyal. При отсутствии результата отключите на 172.16.55.40 антивирус и сетевой экран. Никакие маршруты вам не нужны. Они уже есть просто по факту наличия интерфейсов, их адресов и сетей.

Пожалуй, соглашусь - мне роутинг прописывать пришлось, т.к. объединял два сервера двух разных сетей через DMZ. В приводимом случае ситуация несколько иная. Здесь главное, чтобы оба интерфейса были "внутренними", был разрешён трафик между локальными сетями и клиенты знали, что в сеть 172... нужно идти через 192...173, а в 192 - через 172...1

[logdog]

По умолчанию, вкладка в веб-морде, для фаервола между внутренними сетями отключена, чтобы включить:

/etc/zentyal/firewall.conf
show_ext_to_int_rules = yes

[LiOH13]

Спасибо за советы!
Удалил все лишние маршруты на сервере, ребутнул. Заработало! Возможно где-то что-то проглючило...
Взял другой - всё сразу пингуется. Теперь всё закрывать)