Нет. Не надо DMZ втыкать в локальную сеть. Просто организовываете VLAN или GRE канал через LAN.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

По моему у 210 нет вланов.

все есть , их там даже аж 8 штук можно сделать
попробуйте создать на lan еще един интерфейс Vlan с отличными от вашей адресации сети , и попробуйте пропинговать удаленный dfl , если получится вот вам и Vlan между устройствами

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Убрал резервирование по dhcp на первом дфл (назначил статику). Теперь на первом дфл создал влан с сетью 192.168.10.0/24 (основная сеть 192.168.38.0/24). Метрика 100 по умолчанию.

Теперь я должен на 2 дфл создать тоже vlan 10 c идентификатором 10, адрес интерфейса 192.168.10.2

Нужно ли прописывать какие нибудь правила или маршруты, чтобы при выдергивании кабеля провайдера из любого дфл интернет шел через другой дфл.

Конечно, нужно.
Для начала добейтесь чтоб DFL-и пинговали друг друга через VLAN канал (по их адресам).

Резервирование можно настроить по этой инструкции.

http://dlink.ru/ru/faq/85/576.html

Не на отдельном интерфейсе. Но это детали.

Смысл в создании двух маршрутов в инет, основной из которых мониторится (только по ICMP) на падение. Правила доступа в инет для адресов локальной сети также должны быть NAT.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Позже это когда?

Буду пробовать.. А можно ли запретить выдавать адреса определенным компьютерам (по мак например)

Поднять еще один DHCP и раздавать таким хостам адреса из "левого" диапазона по статик-листу. Если известны конечно эти маки.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

А что помешает получить таким хостам адрес от "правого" dhcp????

Во-первых, У Вас и так с адрессацией не густо на DHCP. Зачем занимать адреса в рабочей подсети.
Во-вторых, получив "левый" адрес он не увидит рабочие хосты, что собственно вам и надо. Тем самым будут ограничены возможности владельца этого макадреса, а вы сможете его хоть как-то мониторить.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Помешает то, что вы их пропишите в статик-листе "левого". Я так понимаю, вы знаете маки этих хостов

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

То что я пропишу в статик листе левого dfl даст только то, что он от него получит посторянные адреса, но это никак не помешает ему получить адрес от правого (в случае если хост увидит его первым)

тоже верно...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Интересно, а если диапазон адресов dhcp будет заполнен на одном дфл, то компьютеры 100 % получат адрес от другого дфл??

По логике работы DHCP так должно быть.

Кроме того, через static ARP можно попробовать извратиться и привязать к нежелательным MAC левые, несуществующие IP адреса.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.