Привет всем.
Есть 860E, до провайдера PPPoE (через дырку WAN2), адрес получаем белый, правила для пинга этого адреса извне вот такое:
Name----Action---Src If---Src Net---Dest If---Dest Net---Service
ping-------Allow-----PPPoE-----all-nets------core------PPPoE_ip-----ping-inbound

На самой дырке WAN2 получаем от провайдера по DHCP адрес из серой сети (Dual Access/Россия PPPoE вроде так это называется), его хотим пинговать из локалки провайдера, правило такое
Name--------Action-----Src If-----Src Net-----Dest If-----Dest Net-----Service
ping_local-----Allow--------wan2-------all-nets-------core----------wan2_ip-------all_icmp
Пинга нет!

В логах это:
Date Severity Category/ID Rule Proto Src/DstIf Src/DstIP Src/DstPort Event/Action
<date> Warning RULE 6000051 Default_Access_Rule ICMP wan2 10.81.67.247/10.81.208.69 ruleset_drop_packet
drop

Это значит правило для локального пинга неверное, если Default_Access_Rule обрабатывает эти пакеты??

Неполное описание.

PPPoE пингуется извне. а wan2 не пингуется. Хочется, чтобы wan2 пинговался.
все верно или нет?

и покажите status - routes

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

"PPPoE пингуется извне. а wan2 не пингуется. Хочется, чтобы wan2 пинговался"
не совсем, "PPPoE пингуется извне" -верно
Хочется, чтобы wan2 пинговался, но не извне а из серой сети провайдера.

Network Interface Gateway Local IP Metric
192.168.0.1 core (Iface IP) 0
213.137.237.228 core (Iface IP) 0
192.168.1.27 core (Iface IP) 0
172.17.100.254 core (Iface IP) 0
10.81.208.69 core (Iface IP) 0
212.26.244.217 core (Iface IP) 0
127.0.0.1 core (Iface IP) 0
255.255.255.252/30 wan1 100
10.81.208.0/24 wan2 90
192.168.0.0/24 lan 100
172.17.100.0/24 dmz 100
192.168.1.0/24 lan 100
224.0.0.0/4 core (Iface IP) 0
0.0.0.0/0 OSK 80
0.0.0.0/0 wan2 10.81.208.1 90
0.0.0.0/0 wan1 212.26.244.218 100

nat: any/all-nets any/all-nets : ping-inbound

и в самый верх ! получится включаем голову, и модернизируем правило !

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

nat: any/all-nets any/all-nets : ping-inbound

натим мы из внутренней сети, из внешней или allow или SAT, NAT только изнутри наружу
а арвило, описанное вами разрешает все отовсюду, это я тоже пробовал, не работает

маршрут 255.255.255.252/30 wan1 100 - неверный
надо wan1net поправить и сделать 212.26.244.0/24, 212.26.244.216/30 или иным, похожим, в соответствие с верной маской, предоставленной провайдером

А ваша проблема в другом:
добавьте маршрут
10.0.0.0/8(или точная сеть провайдера) wan2 10.81.208.1 100

а маршрут
0.0.0.0/0 wan2 10.81.208.1 90
будет правильнее удалить через снятие галки основного маршрута в настройках интерфейса wan2

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Добавил маршрут
10.81.208.0/24 wan2 10.81.208.1 100
ничего не изменилось, пинговаться не стал интерфейс

Это неверный. Если вы не знаете точно все сети провайдера, исправьте его на

10.0.0.0/8 wan2 10.81.208.1 100

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не помогло

Еще нюанс, когда с файрвола пингую шлюз 10.81.208.1 то ttl 255, не многовато?

нет. вполне нормально

покажите еще раз status - routes

а правило
allow wan2 all-nets core wan2_ip ping-inbound
вынесите выше остальных правил и папок

пинганите еще, до кучи, c DFL адрес 10.81.67.247. Если он, конечно должен пинговаться. или любой другой адрес в сети провайдера 10.0.0.0/8. Но не из сети 10.81.208.0/24

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ХМ сейчас запинговалось, но не сразу после добавления маршрута (поэтому я и отписал, что не помогло, пробовал сразу после применения настроек), хотя получается. что дело было именно в этом.