Собственно есть задача.
на DFL-800 подключено 2 ISP.
1WAN - ADSL с динамическим IP
2WAN - имеет IP 192.254.14.1/24 b подключен к Dlink DI-804 c внутренним IP 192.254.14.4/24 у которого есть внешний статический IP.
Настроено резервирование каналов по FAQ.
По LAN1 идет весь HTTP, FTP-трафик. По WAN2 весь служебный трафик типа корпоративная почта и VPN.

Теперь нужно разместить веб сервер в DMZ зоне, чтобы он был доступен по внешнему статическому IP-адресу который на WAN2. а также был бы доступен внутри локальной сети.

Как и что нужно прописать, или ткните где можно посмотреть как это настроить?

1. Если еще не делали, делайте альтернативную таблицу на wan2 и pbr для обработки трафика (в FAQ есть)

2. Делайте порт маппинг на DI и DFL, а лучше откажитесь от DI.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Что то я уже совсем запутался.
Помогите разобраться.
Вот моя таблица маршрутизации:
Основная:



Дополнительная таблица:


Правила маршрутизации Routing Rules:


Правила IP Rules:









когда пробую зайти на WWW извне: получаю ошибку:


что не так?

Сделайте

1) Альтернативную таблицу маршрутизации и маршрут в ней ТОЛЬКО на wan2, без мониторинга

2) Правило PBR
wan2/all-nets any/all-nets, forward main, return alt

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Тоесть кроме той альтернативной таблицы которая есть уже создать еще одну альтернативную таблицу?
как в ней прописать этот маршрут, тоесть с какими параметрами?

Ваша текущая альтернативная таблица обеспечивает прохождение HTTP/FTP трафика в инернет сначала по 1, потом 2 wan. В главной таблице у вас наоборот. Поэтому да, делайте еще одну таблицу и правило, а лучше еще тоже самое сделайте и для wan1.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сделал так:

Дополнительная таблица



и Routing Rule


Правильно я понял?

Да. Только вместо http-in-all можно использовать all_services, чтобы например DFL пинговался по обоим каналам одновременно. И делайте тоже самое для wan1.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

а зачем делать для WAN1?

Все равно при попытке зайти из вне получаю ту самую ошибку что раньше (картинка несколько постов выше)

И еще при попытке зайти в нет из сервера в логах ошибка

192.252.14.100 приватный адрес WWW-сервера



так понимаю ошибка разрешения DNS хотя я правило NAT dmz/dmz_net WAN1_WAN2/all-nets прописывал

вопрос:
у автора wan2 является маршрутом по умолчанию.
зачем создавать альтернативную таблицу маршрутизации и дефолтный маршрут в ней на wan2 ?

Две альтернативы - потому что в приведенной выше дополнительной таблице сначала wan1, потом wan2 - будет работать вне зависимости от того что будет крутиться в main потом.

Ошибка на скрине - UDP 53 - это DNS. У вас на веб-сервере DFL прописан DNS, а DNS relay со стороны DMZ не настроен.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

тоєсть нужно прописать пару правил SAT и NAT dmz/dmz_net core/dmz_ip для сервиса DNS_all
так я вас понял?

и ще что по другой ошибке (скрин выше)?

Да

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

я не понял эту мысль, поясните плиз