Прошил последней прошивкой, восстановил заводские установки.
При коннекте запустился визард, прописал wan и
lan 192.168.3.1
lannet 192.168.3.0/24
Поднялись сервисы в правилах по умолчанию на разрешение
allow-ping-outboand
allow-standart
Проблема в том, что маршрутизатор стоит за проксей на 2000ом сервере, на котром поднят NAT, локалка соответственно 192.168.0.0/24
Сейчас через маршрутизатор ничего не работает из локалки
2007-08-03
12:54:02 Warning RULE
06000051 Default_Access_Rule TCP lan
192.168.0.4
77.221.152.239 4750
80 ruleset_drop_packet
drop
rev=1 ipdatalen=28 tcphdrlen=28 syn=1

Видимо потому, что он не знает подсеть 192.168.0.0/24

Где и главное что грамотно надо прописать, чтобы правильно заработала такая схема, с учетом, что потом там еще подниматься VPN планируется.

Опишите схему сети полностью.

Есть локалка 192.168.0.0/24
в инет выходи через прокси сервер на 2000 сервере, там два инет канала на разных сетевых интерфейсах разруливается все трафик инспектором.
Один канал можно не трогать он работает и работает.
На втором интерфейсе прописан адрес 192.168.3.2 к нему подключен DFL-210.
У DFL-210 прописаны wan провайдера и
lan 192.168.3.1
lannet 192.168.0/24
По умолчанию поднялись правила, среди них
allow_standard NAT lan lannet wan all-nets all_services
которое собственно открывает порты, основные 80, 110, 25 и т.д.
Но не работает, в логах пишется, что идет обращение от ip адресов подсети 192.168.0.0/24 и срабатывает DROP.
Ну это логично, т.к. получается, что ДФЛка этой подсети не знает.
Где грамотно прописать, чтобы все заработало?

NAT у вас получается только на DFL?
lannet должна быть 192.168.3/24.

На 2000ом сервере тоже НАТ работает
А с ланнет я опечатался извините конечно 192.168.3.0/24

Тогда лучше NAT на 2000 отключить.
И откуда тогда приходят пакеты с адресами из 192.168.0.0/24 подсети?
Сделайте так:
1. Создайте подсеть 192.168.0.0/24.
2. Добавьте маршрут в нее через 2000.
3. Создайте NAT-правило разрешающее ей доступ в интернет.

Создал подсеть lan_new 192.168.0.0/24
Прописал НАТ правило
NAT any lan_new wan all-nets all_services
т.е. с любого lan и подсети lan_new на wan в любую подсеть разрешены все сервисы
Однако
2007-08-06
10:27:54 Warning RULE
06000051 Default_Access_Rule TCP lan
192.168.0.37
64.233.183.147 1401
80 ruleset_drop_packet
drop
Все равно соединения нет.

А что такое добавить маршрут в нее через 2000
Там вроде все сделано, тем более по логам видно, что пакеты до DFL доходят через 2000 и откидывает их именно DFL

По логике должно работать раз прописано правило, а реально не работает

В качестве интерфейса в правиле укажите lan.
Роутер также должен знать куда отправлять ответные пакеты, поэтому уберите lan-шлюз и пропишите маршрут в эту подсеть.

ОК исправил, теперь правило
NAT lan lan_new wan all-nets
Я что0то не могу найти где убрать lan-шлюз
Маршрут надо прописать в Routing-Routing tables?
У меня там только стандартные автоматически созданные маршруты
Route wan wannet 100
Route wan all-nets wan_gw 100
Roure dmz dmznet 100
Route lan lannet 100
т.е. подсеть lan_new вообще нигде не прописана в маршрутизации
Как ее правильно добавить, подскажите плиз
Route lan lan_new 100?

Шлюз убирается в своствах интерфейса.
Маршрут должен выглядет так lan lan_new lan_gw 100.

У меня прописано 3 интерфейса
lan lan_ip lannet
dmz dmz_ip dmznet
wan wan_ip wannet wan_gw

т.е. нет шлюза на lannet и соответственно в Adress Book не прописан lan_gw

Мне видимо что-то еще надо прописать, чтобы добавить указанный Вами маршрут?

В качестве lan_gw укажите адрес сервера.

Не получается
Добавил в Adress Book lan_gw 192.168.0.5
Прописал маршрут lan lan_new lan_gw 100

Правда теперь в логах обращений не видно
Видно когда пинговать пытаюсь
2007-08-06
18:06:26 Warning RULE
06000051 Default_Rule ICMP lan
192.168.0.37
192.168.3.1
ruleset_drop_packet
drop

Хотя стандартное правило создано allow_ping-outbound NAT lan all-nets wan all-nets ping-outbound

Добавьте правила разрешающие доступ из lan_net в lan_new и наоборот.

Добавил два правила
new_to_local NAT lan lan_new lan lannet all_services
local_to_new NAT lan lannet lan lan_new all_services

Все равно не работает