Здравствуйте, уважаемые господа!
Я не раз видел на этом форуме упоминание о реализации взаимодействия локальной сети с другой подсетью в нетегированном vlan от управляемого свича(3200) в порт wan2/dmz.
Вкратце. Есть объект А в нем dfl860e, также есть des-3200 и подсеть там 192.168.0.0/24, есть объект Б там тоже управляемый свич(alied telesys at-8000) подсеть 192.168.77.0/24. Раньше на Б был dfl800 и он по dhcp раздавал lannet 192.168.yy.yy/24, а также он по ipsec туннелю был связан с А, теперь было принято решение убрать dfl800 из Б и шнур провайдера переквалифицировать под vlan. Но так как с течением времени в Б много хостов заимели статичные адреса, в т.ч. мфу, ip-телефоны, etc, решили оставить им их подсеть 192.168.77.0/24.
На данный момент ситуация такая: В точке Б шнур прова(тегированый vid 2161) соединен с управляемым свичом(alied telesys) в порт 48 в теге с vid 2161,там также остальные порты не в теге с тем же vid, там все нормально настроено. В точке А, другой конец шнура прова, в 24 порт des 3200 в теге c vid 2160(такие vid выдал пров), 23 порт в антеге с vid 2160, с этого порта в wan2 и тут начинается самое интересное.




office-net 192.168.77.0/24
office-vlan-ip 192.168.77.2
dfl 860e, которая в точке А, сама пингует подсеть Б, но хосты за А, не пингуют Б. Прошу не пинать, ткните носом куда смостреть.

А зачем такие извраты? Можно было сразу поднять теггированый влан на дфл, и там уже с ним работать .и ван 2 освободите.
Схема рабочая, смотрити свичи нет ли там какихто ацл и прочей мути.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я конечно извиняюсь, но я упустил один момент, на сколько он важен я не знаю, но тем не менее, сейчас добавлю. Еще есть третья точка В, там неуправляемый свич, подсеть там 192.168.0.0/24, хостов там немного, эта точка (В) соединена с А по нетегированному vlan, т.е. в точке А присутствует только один! шнур, в нём антег, приходящий из В, и тег, приходящий из Б. В свиче des 3200, помимо того, что я уже описал выше, в настройках, 22 порт тоже в антеге с vid 2160. По идее(тут я ошибаюсь скорее всего), отсюда(из 22 порта) надо уводить в dfl в dmz и там разруливать траффик, но хосты точки В и так доступны из А.

Рисуйте схему с интерфейсами . Адресами, и прочими прелестями . В противном случае будем долго гадать с аксесными и тегированными портами .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В общем нарисовал как смог, простите за кривость рук.
До:
После:
В конечном итоге необходимо чтобы хосты А могли видеть хосты Б и обратно, а также чтобы хосты Б могли по dhcp получать адреса своей подсети Б и могли выходить в инет. Хосты В видно в любом случае.
upd#0
Порывшись еще немного на форуме, увидел схожую "хотелку", я её применил, однако хосты А видят частично хосты Б, обратно нет и больше ничего, что хотелось бы из того, что написано выше.

наю наводку .
у вас разные интерфейсы ,
правила то где ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Правила:
в первом моем посте эти правила, там и роутинг...