Если схема первая, то вполне понятно, почему не работает.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вот такая



Маршруты WGuard:

у меня создается впечатление , что ваш вотч гуард просто не знает , а точнее не позвращает обратно пакеты .
зинг не всчет .
что бы понять это , надо на DMZ DFL снять дамп , и посмотреть варешарком , что то там есть .....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

а как же тогда работает схема, когда прописывается второй ip на компьютере... правда там указывается DNS 10.14.0.2, суффиксы...

я уже поставил wireshark, только смотрел свой траффик... )

получается, в него можно будет загрузить и проанализировать сторонний трафик... ок, попробую

Схема ваша внятная
И вполне понятная.
Но, похоже, старая.
Чего не понимаю я.

Она ж крива по-вашему,
Кстати, и по-нашему.
Сделайте-ка новую.
И я помочь попробую.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ну наверное и шлюз другой ?
не зря же у вас сеть линк от вашего вач гуарда , в пользовательский коммутатор 1016 ?
ну все верно и DNS , он как должен работать ? вы же знаете как работает DNS

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Отлично )

В каком виде дамп и результат разбора Wireshark'ом сюда выкладывать?

шлюз прописывается в маршруте, он 192.168.200.1 (WGuard)

ну, получается, когда я меняю схему на "через DMZ", DNS 10.14.0.2 неизвестно где искать... при этом DNS Relay по инструкции DFL не работает/неправильно прописываю, так?

но при этом известно, когда явно указан в nslookup tfs.a****y.ru 10.14.0.2



Я как раз от этого и хочу избавиться )

ни в каком . разбор анализов , ваше дело.
анализировать Ваши логи , и дампы - дорого . ООООЧень !



намекну , файл hosts, знаете ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

знаю, более того, туда делаются записи при существующей схеме с 2мя ip

я от этого и хочу уйти, переключив WGuard в DMZ DFL

знаете как работает DNS ?
как работает Relay ?
кто такой кэширующий DNS ? и по ходу без него не обойтись в вашей схеме ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

DNS запрос-поиск/перенаправление-ответ

Relay сразу пересылает запросы к указанному серверу DNS

насколько я понимаю, все DNS сервера кэшат запросы на какое-то время...


Какая-то шизофрения выходит, вроде бы тривиальная задача. По идее должен работать вариант с релеем для запросов к сети 10,0,0,0... или я чего-то не понимаю?

вы что то явно не понимаете , расскажу :
клиент посылает запрос к вашему DNS серверу . тот принимает запрос.
смотрит у себя и говорит "Я не знаю что ты хочешь , у меня нет такого имени"
все !!!!! Резольв состоялся к другому DNS серверу , не проходит запрос . тк уже выполнен резольв и к клиенту вернулось что нет такого имени , и следовательно IP адреса

дальше можете догадатся что произойдет ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Почему DFL не может при получении DNS запроса для сети 10,0,0,0 перенаправить его на указанный DNS-сервер?

Я чего-то не понимаю или DFL860 не умеет этого делать?

вы не понимаете , DFL отправил запрос на свой первый сервер, от туда вернулось что нет адреса - все IP АДРЕСА НЕТУ !!!!!!!!!!!
дальше не пойдет, ТК ДЕЙСТВИЕ ВЫПОЛНЕНО , И СЕРВЕР ОТВЕТИЛ !!!!!!!!!!!!!!!
Вот если DNS НЕ ОТВЕТИТ вообще !!!!!!!!!!! Вот тут ответит следующий по списку.
Не зря же, я вам сказал, про кэширующий DNS Или DNS у которого настроена функция пересылки

Это не Relay !!!!!!!!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку