Доброго времени суток.
Уважаемые коллеги, будет ли работать данная схема:
1) публикуем дополнительный IP на WAN (wan_ip_pub)
2) пишем правило в IP Rules: ping-inbound Allow source any/allnets - dest wan/wan_ip_pub
Будет ли работать ping н адополнительный IP адрес.
Спасибо.

Делается это еще с правилом SAT как описано в аналогичной теме:
viewtopic.php?f=3&t=111577

Обалдеть. взрыв из прошлого, из далекого 2008 порадовали, однако
Никаких правил SAT не надо. Надо простое Allow правило со all-nets на core интерфейс, а в network указать или один, или все IP на интерфейсе, ну а сервис разумеется ping-inbound.

Мой провайдер выдает дополнительные ip по MAC, т.е. ip назначаются провайдером динамически по DHCP.
В Interfaces -> ARP указываю MAC 00-19-91-22-e7-d4, который предварительно зарегистрирован у провайдера как дополнительная услуга для выдачи дополнительного ip 7.35.31.9, и через консоль проверяю эти настройки:

Правило Allow для ping-inbound прописано на этот адрес 7.35.31.9, но пинг не идет и в логах тоже ничего нет типа ICMP на дополнительный ip 7.35.31.9.

Не совсем понял про DHCP и MAC. IP всегда привязываются к MAC, ибо это так работает. У вас основной IP получается автоматически, или это статический IP и он вбит руками в настройки WAN интерфейса?
Правило для ICMP для CORE интерфейса, или WAN все таки?
GW - 7.35.30.1? 7.35.31.9 - дополнительный? Каков основной? 00-19-91-22-e7-d4 - что это за MAC, чей он? WAN интерфейса?

Мой основной адрес 7.35.31.8 на WAN интерфейсе получается автоматически по DHCP согласно зарегистрированому у провайдера MAC данного WAN интерфейса 00-19-91-22-e7-d5:

7.35.30.1 - это шлюз (и одновременно DHCP сервер провайдера), а 7.35.31.9 - это дополнительный адрес, которому соответствует MAC 00-19-91-22-e7-d4.

Техническая поддержка провайдера мне сообщила: "В нашей сети зарегистрировано устройство с MAC адресом 00-19-91-22-e7-d4 и ему присвоен соответствующий дополнительный ip 7.35.31.9, но физическое соединение с этим оборудованием отсутствует. В данный момент связь есть только с устройством 00-19-91-22-e7-d5, ip адрес которого 7.35.31.8 и является основным."

Текущие правила IP Rules:

Как результат:

Таки у вас нет проблем с ICMP, у вас проблемы со вторым уровнем OSI - с физической адресацией. Я не очень себе представляю, как DFL будет работать с опубликованным на WAN интерфейсе IP с MAC адресом, который не совпадает с MAC адресом собственно интерфейса. Честно говоря, ваш провайдер должен был на ваш текущий MAC адрес вашего WAN повесить дополнительные адреса, а не придумывать фейковые адреса. Что если в его сети вдруг такой адрес появится реально?
Однако, DFL вроде бы умела делать то ли XPUBLISH, то ли как-то так. Там в WebUI в дропдаун листе увидите несколько вариантов, один из которых Static, второй Publish, а третий вот этот странный. Вероятно для таких случаев. Не уверен конечно. Расскажите, как пройдет. Если наврал - то не по злобе

Общий ответ моего провайдера о настройке дополнительного адреса: "Если Ваш роутер поддерживает данную функцию и Вы настроите все верно, будет работать. С нашей стороны никаких ограничений нет."
Уточняю, что два полученных от провайдера адреса (основной и дополнительный) выданы на основании MAC адресов моего реального оборудования и совпадать эти MAC адреса по требованию провайдера не могут.


В мануале NetDefend ( http://dlink-manuals.org/netdefendos-cl ... -guide/98/ ) описаны 3 режима работы ARP: Static, Publish и XPublish, но ни один из них не дал желаемого результата. Написал об этом провайдеру, интересно, что он ответит?

На счёт разных MAC для разных IP для одного и того же устройства - это ерунда какая-то, а мой взгляд. Расскажите, чем ответят, интересно.

я в таком случае, купил второй dfl, руководству обосновал - что задачи разные, каналы разные, устройства тоже должны быть разные

Да, интересное решение. Жаль, не дошли до сути...

мне не жаль
я тогда (~3 года тому уж) переживал, что мне могут пенять, за покупку 2-х dfl-860e, а щас думаю что все правильно сделал

Мой провайдер сообщил:

1. «К одному MAC адресу привязывается только один IP.» (примечание: это правило согласно регламента предоставления сетевых услуг моего провайдера)
2. «Если выполняется все как в инструкции «Как настроить перенаправление портов с помощью дополнительных IP-адресов на WAN-порту?» ( http://www.dlink.ua/dfl_faq_21 ), должно работать.» (единственное изменение в иструкции по рекомендации провайдера для моего случая - это четко указать в настройках ARP сетевой адрес MAC, который соответствует дополнительному ip)

Но, к сожалению, физического соединения с дополнительным ip как не было, так и нет, независимо от режима ARP – Publish, Static или XPublish. Хотя если подключить физическое устройство с данным MAC, который привязан к дополнительному ip, то провайдером автоматом без проблем выдается дополнительный адрес.

Видимо – это глюк DFL-210 на данной прошивке 2.27.08.03-22678.

Это не глюк прошивки. Два MAC адреса на одном интерфейсе быть не может. Если не работает XPublish, то помочь может только организация виртуальных интерфейсов на WAN. Я не в курсе, умеет ли это DFL. На крайний случай и если я ничего не путаю, у DFL есть DMZ порт, который представляет из себя отдельную сетевушку. Вот ее можно использовать, как WAN2.
А еще можно позвонить и проконсультироваться про возможности DFL-210 в поддержку. Один раз звонил и вполне себе нормально пообщался.

Еще вариант: раз провайдер пишет такие странные вещи, то можно купить у него подсеть /30 и будут у вас 2 IP на чем хотите.

дааа долгая тема однако.
но справедливости ради отпишу. на одном интерфейсе можно и нужно (для этой задачи) делать несколько мак адресов. в руководстве к дфл даже расписано как это делается вплоть до SAT правил проброса получившихся адресов во внутреннюю сеть с переадресацией, например на несколько веб-серверов.
Чтобы уяснить в уме как это работает, представьте себе, что кабель провайдера вы подключили в свич, в который у вас включено несколько устройств и каждый запрашивает IP на свой индивидуальный мак.
На один! физический интерфейс провайдера придут несколько запросов с разных MAC и его маршрутизатор раздаст IP адреса. А у себя запишет, что за этим интерфейсом находятся такие-то MAC адреса с такими-то IP.

PS: Это в домашних роутерах 1физ порт (WAN) = 1 MAC. А dfl железка чуть получше.

PPS.(добавил позже) В DFL-210 пробовал еще один MAC прописать. должен работать, но не работает! только прописав нули (тогда берется мак интерфейса) работает. Читай последние посты.
Сейчас использую Juniper srx210. на ней такое работает легко. потом проверяешь таблицу ARP на другом компе в сети. а там те MACи и IP, которые указал вручную на роутере.