DFL-860e
у провайдера взял белую подсеть, до этого было подключение через PPPoE
подсеть дали через это же PPPoE, типа все запросы к подсети будут заворачиваться на мое PPPoE
мне сказали, что мне надо на моем маршрутизаторе одному порту (отдельному физ. интерфейсу или влану) назначить адрес из подсети, связать его с PPPoE интерфейсом (без использования ната), и использовать его в качестве шлюза, а за этим портом будут уже остальные адреса подсети

такая организация вообще нормально?

у меня на другом провайдере подсеть, там просто белые стат. IP, шлюз на стороне провайдера
провайдер предполагает назначение на интерфейсах серверов белых IP, у меня этот канал резервный
сервера имеют только IP локальной сети (причем не всегда это один комп, скоро будут варианты с балансировщиком на шлюзе)

сделать transparent mode между маршрутами нельзя, потому что это можно только на физ. интерфейсах, с PPPoE не прокатывает
поднять дополнительный IP, на PPPoE интерфейсе (proxy arp), тоже поддерживается только на физ. интерфейсах
нат между PPPoE и интерфейсом нельзя

какая-то схема левая получается, я эту подсеть не могу полноценно использовать, приходится у себя организовывать промежуточный маршрутизатор, я боюсь, что в итоге в логах серверов не будет отображаться IP источника подключений

как правильно сделать, пилить провайдера чтоб статику дал?

Если я правильно понял суть проблемы, то основная загвоздка в том, что ARP можно прикрутить только к физическому интерфейсу. Это верно.
Но есть методика обхода.

Можно сделать также как для PPTP. Я давно-давно описывал тут:
viewtopic.php?p=811275
+
viewtopic.php?p=873935

Основная идея - сделать группу: PPTP интерфейс + WAN.
И уже ARPы с нулями прикручивать на группу.
Я так подсеть /29 получал от Билайна и разруливал адреса по разным хостам в локалке и разным сервисам.
Прекрасно все мониторилось, пара (SAT+Allow) работала.

В твоем случае нужно PPPoE группировать с внешним физическим интерфейсом, какой там у тебя - wan1 или wan2...
Поробовал на тестовой железке - вроде прокатывает.





Проверяй сам уже, в боевых условиях
Ну, маршруты и PBR сам уже прикрутишь если надо...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

у меня arp на PPPoE никак, на группу не прокатывает
прошивка 2.40.04

попробовал т.к. предполагает провайдер: интернет-----PPPoE на шлюзе-----другой интерфейс на шлюзе---- сет. карта сервера с белым IP из подсети
работает
но мне надо чтоб все белые ip были на портах dfl
щас попробую еще одну идею:
сделать доп IP (propxy arp) на лан интерфейсе и реальные ip из белой подсети никуда не назначать, а сатить сразу в дмз

вы таки будете смеяться, но оно таким образом заработало

Немного не понял. Можно подробнее...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

завел один IP из белой подсети как proxy arp на лан интерфейсе, сделал маршрут на лан на подсеть
создал разрешающие правила с пппое интерфейса на лан на подсеть
создал сат правило для другого IP из подсети, адрес назначения - сервер в дмз (разрешающие правила соответственно)
в итоге: могу работать с белыми IP, не назначая им отдельных интерфесов

У меня ощущение, что у вас сделано наиболее простым и понятным способом: ваша сеть маршрутизируется на уже существующий адрес. Т.е вам надо на вашем DFL отвести один интерфейс под эту белую сеть. Точно так же как это делаете с lan. Без всяких выкрутасов с ARP.

Понятное дело, что можно делать это без выделения отдельного интерфейса. Но это прямое нарушение норм безопасности - смешение в одном физическом сегменте белой, прямо адресуемой подсети (незащищенной) и локальной (защищенной).

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

хотелось бы, а как?
еще раз - белая подсеть доступна извне только через одно пппое подключение, т.е. принципиальная схема такая:
перед дфл поставить маршрутизатор, куда входит пппое, а выходят пять проводов с белыми IP (ну мне все 5 не надо, но парочку надо в дфл воткнуть), и их уже подключать к дфл
как правильно организовать это на дфл, без дополнительного маршрутизатора?

зачем мне белая подсеть на интерфейсе?
мне надо несколько выходов в инет, т.е. каждый белый IP в отдельный интефейс

я перед этим вариантом попробовал присвоить белый IP на dmz интерфейс и создать разрешающие правила между пппое подключением и дмз, этот вариант тоже заработал, но тогда получается, что дмз будет шлюзом для подсети
и чтоба получит доступ с адресов подсети в инет или к ним из-вне, надо будет разбить лан порты дфл на вланы, присвоить им другие IP из подсети со шлюзом IP_дмз, и подключить их к дмз через свич

Ну я и говорил об этом.

Например:
DMZ интерфейс отводите под эту белую сеть. Из 8-ми доступных адресов - первый зарезевирован под сеть, последний - широковещательный, второй - IP адрес на DMZ, служащий шлюзом, с 3-го по 7-й - 5 доступных белых адресов для устройств в вашей белой сети.

Разумеется, понадобится хаб под это дело. Если на самом DFL достаточно LAN портов, то можно обойтись без хаба, настроив все на DFL и создав VLAN вместо использования DMZ.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

в общем есть дв варианта реализации, оба опробованы
1 - с прокси арп (виртуальные интерфейсы)
2 - с физическими интерфейсами на портах
я щас думаю какой предпочтиетельней
минус первого в том, что нельзя сделать исходящие соединения с адресов подсети (ну мне пока это и не надо), зато не надо тратить физ. порты на адреса