В разделе Virtual Server создал 2 правила
SRV#1 - 192.168.0.100 TCP 3389 / 60100 always
SRV#2 - 192.168.0.200 TCP 3389 / 60200 always

Роутер настроен на использование статичного IP, к примеру -
10.15.100.20

SRV#1 - 192.168.0.100 - WinXP SP2.
С удаленного компа запускаю RDP клиента с параметрами
10.15.100.20:60100 - возникает предложение входа в систему.

SRV#2 - 192.168.0.200 - Win2000 Server SP4.
С удаленного компа запускаю RDP клиента с параметрами
10.15.100.20:60200 - тишина. В логах никаких записей об ограничении доступа или блокировке. Если в разделе Virtual Server снимаю опцию Enabled для SRV#2 - в логах возникает сообщение о блокировке доступа из WAN.
SRV#1 подключен непосредственно в один из портов 824VUP+, а SRV#2 - подключен через гигабитный порт к 3COM - суперстаку и линком соединен с роутером. Подключиться по RDP из LAN к SRV#2 могу с любого компьютера.
В LAN есть еще несколько компьютеров (WinXP + SP1,2)непосредственно не подключенных к роутеру, к ним доступ из WAN также открыт и благополучно работает.

Вопрос уважаемому сообществу - должен ли компьютер быть непосредственно подключен к роутеру (в порт роутера), чтобы предоставлять свои службы для использования их в разделе Virtual Server ? Если нет, какие варианты решения предложите ?
Firmware Version: v1.04, Fri, Oct 22 2004

Сам компьютер 192.168.0.200 может выходить в интернет ?

Похоже я разобрался с этой ситуацией.
Вот содерджание раздела firewall.

Allow SRV1 LAN,192.168.0.100 WAN,* *,* - открываем доступ к интернету для IP 100
Deny ALL LAN,* WAN,* *,* - запрещаем всем остальным компам локалки выходить в сеть (из за того, что все компы являются клиентами DHCP и получают параметры GATEWAY и DNS)
Allow SRV2 WAN,* LAN,192.168.0.200 TCP,60200 - запись добавлена автоматом после создания правила в Virtual Server
Allow Allow to Ping WAN port WAN,* WAN,* ICMP,* - по умолчанию
Deny Default *,* LAN,* *,* - по умолчанию
Allow Default LAN,* *,* *,* - по умолчанию
Итого мы имеем, IP 100 имеет доступ к инету и благополучно принимает запросы по RDP из WAN.
IP 200 не должен иметь доступ к инету (только предоставляет сервис RDP для пользователей из WAN), но несмотря на созданное автоматом правило не принимает запросы из WAN.
Ответ кроется в том, что чуть выше имеется правило
Deny ALL LAN,* WAN,* *,*
и, для того, чтобы разрешить IP 200 принимать RDP запросы из WAN, необходимо, чтобы выше этого блокирующего правила было создано еще одно вида:
Allow SRV2 LAN,192.168.0.200 WAN,* *,*
либо
Allow SRV2 LAN,192.168.0.200 WAN,* *,3389
т.е. разрешить выход из локалки для IP 200 по порту RDP

2Pir8e Спасибо, очень познавательно.

А может дело в том, что маршрутизатор не умеет пробрасывать порты например с 3389 на 60200??? У меня не пробрасывает даже с самой последней прошивкой, хотя эта функция заявлена .
танцы с бубнами тут не помогли.
ЗЫ Дружно пинаем саппорт Д-линка!

Что значит "не умеет"? Все умеет и все работает. На любых прошивках. Номер порта роли не играет. У меня, например, из-за блокировки провайдером 80-го порта, стоит проброс внешнего порта с 99ХХ на 80-й локального ПК.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

А у меня не работает, я пытаюсь пробросить 3389 внутренний на 3399 внешний, результат нулевой...
что я делаю не так?
ревизия А1, прошивка последняя..

SoulKeeper, а на этот ПК из внутренней сетки можно по RDP зайти? Глурый вопрос, но я все же я задам.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

конечно можно.
и из внешней можно, если порт пробросить 3389/3389
а мне надо 3389/3399, типа для секъюрности, иначе хакеры начинают сканерами его задалбывать на стандартном порту,
мне пришлось ухитриться и правкой реестра переделать внутренний 3389 на 3399, и на роутере 3399/3399 повесить, иначе не получается

Похоже я поторопился сказав, что разобрался с ситуацией.
Несолько дней назад вся настроенная система отказалась работать.
Ни на серверах, ни в роутере никаких настроек не менялось.
Сейчас ситуация выглядит следующим образом:
не могу подключиться из WAN к серверу SRV#1 в LAN ни при каких настройках файрвола. Хоть открывай для SRV#1 выход из LAN в WAN хоть нет. Из локальной сети могу подключиться к любым серверам в LAN, но из интернета - ни к одному. Пробовал публиковать в инете порт 3389 (памятуя о проблемах с переброской портов) - безрузультатно. На серверах (W2k SP4) ничего кроме офиса не установлено.
Сейчас единственное видимое решение - откат к первой версии прошивки 1.01 (сейчас 1.05) да и то результат не очевиден либо замена на роутер другого производителя (чего делать не хотелось бы).
Разделы Virtual server и Firewall.

Не работает как с включенным правилом №1 в разделе Firewall так и с выключенным.

небольшое дополнение:
установил на "проблемный сервер" програмный файрвол - Outpost, который зафиксировал попытку обращения от IP из WAN.
То есть роутер (824VUP+) корректно перенаправляет запрос на сервер в LAN, но обратно от сервака не выпускает данные в WAN (при существующем правиле allow).
В логе так и написано:
процесс termsrv, локальный адрес 192.168.0.100, локальный порт 3389, удаленный адрес (адрес в инете с которого идет подключение к опубликованному порту), удаленный порт 1439 (удаленный порт менялся с каждой попыткой подключения).
При этом никакого обмена между открывшимся по запросу приложением termsrv и удаленным IP не происходило и возникал таймаут.

ребяты
корректно поднимайте у себя на серверах службы удаленных рабочих столов
и это уже не к д-линку вопросы!

_________________
Даешь связистов без брака!
AB4790-RIPE

что такое "поднять службу удаленного рабочего стола" ? Это служба которая работает по умолчанию после установки w2k. Повторюсь - все работало, на сервере никаких работ не велось (уже с год).