Поставил маршрут на DFL-е: Route wan/all-nets YOTA_gateway 50 No

С компьютера, у которого установлен шлюзом DFL ничего не открывается.

А вот если на компьютере прописать статический маршрут route add 0.0.0.0 mask 0.0.0.0 192.168.2.7 metric 1 , то начинает работать через йоту.

Делайте настройки для второго канала Yota на DFL точно также, как для wan канала. В том числе разрешающие правила NAT.
Полностью аналогично.

никаких проблем не вижу. Хоть с резервированием, хоть без.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Hint: В одном физическом сегменте Enternet могут спокойно жить две логических сети с разной адресацией. Даже без VLAN. С точки зрения безопасности это, конечно, плохо, но работать будет. Как назначить дополнительный ip-адрес интерфейсу в DFL -- без бутылки не разберешся, но "бутылку" не проблема найти (многократно обсуждалось). Если отдельную адресацию не далать, то получится треугольный маршрут (возврат пойдет напрямик, без заезда в DFL), что грозит некоторыми сюрпризами.

Не согласен.

Все должно работать, как я описал. У меня подобных конфигураций нет, но с использованием правил NAT я не вижу никаких подводных камней.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Подскажите куда копать, ведь в правиле могу только указать lan\lannet, а в destination что ?

Трансляция сетевых адресов (NAT) предназначена для борьбы с недостаточностью адресного пространства IPv4. Используется на границах общего адресного пространства Интернет и частных пространств 192.168.0.0/16, 10.0.0.0/8, ... Для других целей использовать NAT без острой необходимости не рекомендуется, т. .к. в нем немало своих подводных камней. И вот зачем здесь -- LAN в LAN транслировать?
---------------------------
Конкретно Вашу задачу без дополнитетьных физических модификаций можно решить так (хотя лучше, действительно, не полениться протянуть доп. шнурок от Йоты):
1) Йоте назначаем IP 192.168.250.2/24. В DFL интерфейсу LAN назначаем дополнительный IP 192.168.250.1/24 (ARP publish + маршрут на этот IP через CORE, подробнее в факах).
2) В Йоте создаем статический маршрут на диапазон вашей LAN через шлюз 192.168.250.1.
3) В DFL создаем маршруты на all_nets через WAN (метрика 1) и через LAN, шлюз 192.168.250.2 (метрика 2).
Вешаем мониторинг на первый маршрут, а лучше на оба (чтобы видеть, а не зависла ли эта Ваша беспроводная штука).
4) Создаем необходимые правила (для Йоты правила доллжны быть Allow!).
5) Проверяем, что все работает

Спасибо за ликбез. Сейчас я чувствую себя в вопросах сетей намного увереннее. Хотя ваш обзор далеко не полон.

Потому что в моем примере без NAT работать не будет. Поскольку вы подкованы хорошо, сами догадаетесь почему.

Автору темы:
Тупо, чтобы Yota была единственным основным каналом:

1) пишем маршрут в таблице main
lan all-nets <адрес_Yota_шлюза> <метрика меньше основного другого маршрута>

2) пишем IP-правило
NAT lan lannet lan all-nets all-services

Если ничего не забыл, этого достаточно. Поскольку задачи изоляции сетей не стоит, она и не решается.
Если надо резервирование, то используем ряд рекомендаций предыдущего оратора.

Да. Так тоже должно работать. Только это немного сложнее. Немного красивее.
И почти также небезопасно.

Это удобно. Я тоже так делаю с некоторых пор. Функционала схеме не добавляет, но дает дополнительную информацию.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, прежде чем обижаться, Вы уж определитесь, будет работать без NAT или нет . Кстати, без выделения Йоты в отдельную адресацию также будет работать и без NAT, просто получится треугольный маршрут, которых в сочетании с DFL я стараюсь избегать (не место в этой теме объяснять). А без NAT будет лучше хотя бы при использовании активного FTP -- с NAT придется добавлять специальное правило, у которого свои глюки. Конечно, совсем без NAT не обойтись, он, наверное, будет на Йоте, но Вам наверняка известно, что для сложных протоколов двойной NAT -- очень нехороший вариант.

Я и не думал обижаться.

Двойной NAT - действительно не здОрово, особенно если понадобится проброс портов. Но для простых случаев вполне приемлем.

Разумеется предпочтительнее, чтобы вся маршрутизация делалась на одном, центральном устройстве, в данном случае - на DFL. Поэтому я бы тоже постарался вывести Йоту в отдельную сеть.

Ваше предыдущее описание не достаточно корректно. Там надо полностью выводить Йоту в другую сеть. Так как невозможно оставить Йоту в LAN и прописать на эту же сеть LAN маршрут через иной шлюз.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Подробно вариант с Йотой в той же сети:
1) На клиентах дефолтный шлюз -- DFL (DHCP или ручками, не важно). Про Йоту клиенты ничего не знают.
2) На DFL есть маршрут на all_nets через Йоту. Путь прямого пакета: Клиент -> DFL -> Yota -> Inet.
3) Когда ответный пакет попадает на Йоту, он видит прямой путь до клиента (непосредственный маршрут через ARP), куда и отправляется, не заходя на DFL.
Работает, если не давать DFL совать свой нос в пакеты. Для этого нужно использовать ForwardFast (c Allow не работает ping!) и, разумеется, никаких ALG. Про то, что DFL -- "firewall" можно забыть. Мне этот вариант НЕ нравится, но он рабочий (реально работал у меня в несколько другой конфигурации).

И я не вижу никаких проблем в варианте с несколькими IP-адресами (несколькими непересекающимися диапазонами) в одной физической сети. Даже Windows нормально работает в такой конфигурации, что тут некорректно?

Да. Только c ForwardFast и будет работать. Но при этом у Windows клиентов в таблице маршрутизации начинают плодиться маршруты через Yota на одиночные хосты, к которым она обращалась. Что мне лично совсем не симпатично.

В общем нам с вами тут обсуждать ничего не надо. Мы и так оба знаем, о чем речь. Надо автору определяться с реализацией и что-то делать.

Это никто и не пытался оспаривать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Благодарю всех. Работает по схеме YuriAM:
1) пишем маршрут в таблице main
lan all-nets <адрес_Yota_шлюза> <метрика меньше основного другого маршрута>

2) пишем IP-правило
NAT lan lannet lan all-nets all-services
Спасибо большое.

Еще раз подниму тему, по ссылке схема http://s47.radikal.ru/i115/1208/6b/02ce34b11592.jpg
По ней "Компьютер 1" получает интернет от Йоты через шлюз 2.6 по схеме YuriAM. Как сделать чтобы и "Компьютер 2" получал от Йоты, только у него установлен шлюз 5.6 ?
На Йоте можно назначить только один адрес.