Dieser Effekt kann ein Routing-Problem der ZyWALL sein. Als Beispiel: In der Zentrale wird das IP-Netz 10.35.1.0 mit der Subnetmask 255.255.255.0 verwendet. In einer Geschäftsstelle wird das IP-Netz 192.168.1.0 mit der Subnetmask 255.255.255.0 verwendet. Die Zentrale verfügt über eine Standleitung und die Geschäftsstelle verwendet einen ADSL-Zugang. Für einen ADSL-Zugang muss in einigen Ländern bzw. bei einigen Providern zuerst ein PPTP-Tunnel aufgebaut werden. Das ADSL-Modem hat typischerweise die IP-Adresse 10.0.0.138 und der Client die IP-Adresse 10.0.0.140. Die ZyWALL eignet sich für diese Fälle sehr gut als PPTP-Client. Allerdings vergibt die ZyWALL dem WAN-Interface die Subnetmask 255.0.0.0, da das die Standardmask für die IP-Adressen ist, die mit 10 beginnen. Dadurch hat die ZyWALL aber implizit eine direkte Verbindung zu allen IP-Adressen, die mit 10 beginnen (bzw. die ZyWALL glaubt das). Folglich werden die IP-Pakete, die von der Geschäftsstelle an die Zentrale geschickt werden, nicht durch den IPSEC-Tunnel geschickt, sondern direkt am WAN-Interface hinausgeschickt, wo kein Gerät antwortet.

Eine wirklich schöne Lösung dafür gibt es leider nicht. Entweder die Adressen in der Zentrale werden geändert, oder die Geschäftsstelle bekommt einen Internetzugang, bei dem die ZyWALL keinen PPTP-Tunnel aufbauen muss oder dafür andere IP-Adressen bekommt. Im Notfall kann das auch durch Kaskadierung mit einem anderen Gerät erfolgen.