Имеется следущая схема сети


INTERNET - статический IP провайдера, поднят на интерфейсе WAN
SWITCH - обычный "глупые" свичи
SERVER - FTP и файловое хранилище в одном лице
На интерфейсе LAN в настоящий момет поднята подсеть 192.168.2.0/24. Компьютеры из нее благополучно выходят в Интернет.
Синяя полоса отделяет второй офис (где расположена подсеть 192.168.2.0/24). В том же офисе нам была выделена подсеть в сети сторонней организации для выхода через нее в Интернет за некоторыми закрытыми ресурсами (закрытыми для нас через нашего провайдера). То есть мы имеем в своем распоряжении дианазон адресов от 172.17.24.2 по 172.17.24.254. А 172.17.24.1 выступает в роли gateway. Физически 172.17.24.1 представляет собой шнурок, который торчит из стены офиса.

В связи с этим возникла проблема:
1) как мне настроить файервол для того, чтобы компьютеры, находясь в сети 192.168.2.0/24 могли бы обращаться с подсети 172.17.24.0/24?
-а: как прицепить на LAN несколько сетей? (WAN, DMZ уже заняты)
- б: как настроить между ними маршрутизацию?

Прописать маршруты через ваш роутер и добавить соответствующие разрешающие правила.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Извините, если это можно, чуть поподробнее.

Я впервые работаю с сетевым оборудованием и маршрутизацией сетей еще заниматься не приходилось.

На настоящий момент конфигурация следущая

У Вас есть правило Routing Rules (route_lan2hse), но в нем указано all-services. А смысл? И есть ли в таком случае еще одна таблица маршрутизации (в дополнение к main)? Или Вы там в правиле route_lan2hse указали везде main?

А вообще по уму бы засунуть подсеть 172.х.х.х в VLAN, заменив глупый свитч, в котором сервер. Или попросить второй офис, чтобы Вам отдавали по шнурку тегированный трафик на порту, если есть такая возможность. Так более секьюрно. А в нынешней схеме минуя DFL любой комп сможет напрямую выходить в Инет через второй офис, если пропишет на сетевухе соответствующие настройки.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Извините, что пропала, уезжала на стажировку. Все это время трафик гнали через PC, сконфигурированную как proxy-server. Теперь хотят снова вернуться на Firewall.
К сожалению заменить свитч фаерволом технически невозможно. Тянуть до нас шнурок второй офис не хочет.
Да, выход через второй офис может быть, но у них жестко фильтруется трафик с той подсети, что они нам выдали.
Вопрос следующий: можно ли поднять VLAN на подсеть, которая вот так вот подключена через свитч (т.е. две подсетки с разными диапазонами адресов идут через 1 кабель)? Если можно, то как это можно сделать?

Если пускать VLAN через эти 2 свитча, то пакеты пойдут. Но для этого у вас в удаленной подсети должен стоять свитч (либо использовать существующий), который от клиентов принимает нетегированные пакеты и отправляет через аплинк уже тегированные в нужном вам VLAN. Либо все клиенты должны понимать VLAN, что на практике практически не встречается. Как понятно, защита от несанкционированного доступа тут есть, но минимальна.

Возможно, в разрешении ваших технических проблем поможет тот факт, что в стандартной витой паре в Fast Ethernet используется 2 пары из 4-х. И, при желании, трафик по нему можно пустить как по 2 независимым кабелям.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.