Место действия и действ. лица:
-- Сервис-площадка в зоне 10.10.10.0/24 , со специфичными сервисами и со своим обсл.персоналом,
доступа к настройкам площадки - нет.
-- ДФЛ-800, натит трафик из зоны 172.16.44.0/24 через ВАН1 на сервис-площадку (см.выше)

Трабия
-- Все было хорошо до тех пор, пока секюрити сервис-площадки не завернули требования ->
один комп (т.е. IP/MAC) - один вход в сервисы (сеанс)
Т.о. через НАТ получает доступ только один комп (кто первым влетел - того и тапки) - остальные банятся,
что ессно не устраивает никак.

Вопрос
Возможно-ли поднять на ВАН1 дополнительные IP, с учетом требования "один IP - один МАС",
т.е. чтобы оборудование площадки видело эти IP как отдельные девайсы.
И далее завернуть трафик от машин из зоны 172.16.44.0/24 на площадку с привязкой к опубликованым IP,
т.е, например,
машина 172.16.44.4 должна идти на площадку через IP 10.10.10.10
машина 172.16.44.6 должна идти на площадку через IP 10.10.10.11
и т.д.

Вобщем, что можно сделать с этой ситуацией, варианты (любые толковые по трабле)?
(желательно с примером настройки)

Не совсем понятно. Если компы за NATом, то провайдер их не видит, а видит только IP/MAC роутера.


Дополнительный IP поднять можно, но у него будет такой же MAC, как и у wan1_ip. Т.е. этот вариант не подходит.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Если провайдер захочет/упрется рогом, выяснить можно, хотя и с большим процентом погрешности.

Но вот суть требования реально не понятна. Каждый клиент (цепочка seq no) - со своим исходящим IP? Как насчет МАС?

Привернуть дополнительный адрес к DFL легко
1) Interfaces > ARP
ARP publish: interface, new_address
2) Routing > Routing tables > main
core new_address 0
# если подсеть нового адреса отличается от имеющихся (wannet)
wan new_address_net 100
3) Rules > IP rules
NAT lan/client_ip wan/all-nets all_services (NAT: source = new_address)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Там требование - 1 IP=1 MAC. У доп. адреса будет МАК основного адреса.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

1. За натом не провайдер (прову пофигу на нат), а именно сервис-площадка (однако это разные вещи)
Их сервисы видят внешний мак и айп, с одного мака/айпа - один сеанс и точка,
а людей на площадке как грязи... тут и проблема.
А вытащить всех их наружу без ната не можем в силу _небсуждаемых_ ограничений

2. Нужно именно МАС еще привернуть.
А если в при арп-паблиш сделать МАС не по нулям???

Без разницы. ARP-паблиш - это просто ответы на запросы. Не получится использовать доп. МАКи в реальном трафике.
Но можно попробовать прозрачный режим. Тогда на этой площадке будут видеть МАКи и IP пользователей. Но адресация подсетей тоже будет единой.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Ну... Мануал и действительность отчасти говорят другие вещи

Мануал 2.27, страница 110, раздел 3.4.3. Creating ARP Objects


следующая страница


На практике (ниже) 192.168.10.2 не пинговался (без изменения МАС пингуется), но думаю для NAT этого хватит

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Никаких противоречий ни в мануале, ни в примере по сравнению с тем, что я написал выше, не нашел.
Трафик при NAT будет идти с МАКом адреса 192.168.10.1, а не адреса 192.168.10.2, что противоречит нормальной работе. У одного и того же IP не может быть два разных МАКа в одном широковещательном домене. Такие пакеты никто не примет, посчитав их за флуд.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Для NAT-правил можно задать исходящие адреса (если писать правила для каждого хоста) или же использовать пул адресов, предварительно его привязав с разными МАС.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А может у этой сервисной площадки взять несколько IP (подсеть)? И вписать их на локальные компы? И фтопку NAT... Обратный маршрут прописать и не париться... Так все нормальные люди делают в случае с белыми IPшниками. Админ этой площадки выдал вам 1 IP и просит, чтобы вы заходили с разных?? =) Не пониме...

Там делается просто, приведу пример:
1: Сеть для взаимодействия (WAN).
сеть: 10.10.10.0/30
IP 10.10.10.2
GW 10.10.10.1
MASK 255.255.255.252
2. LAN
Сеть 10.10.10.4/30
IP 10.10.10.5
MASK 255.255.255.252
Допустимые IP в сети: 10.10.10.6
Сеть 10.10.10.8/29
IP 10.10.10.9
MASK 255.255.255.248
Допустимые IP в сети 10.10.10.10-10.10.10.14
Сеть 10.10.10.16/28
IP 10.10.10.17
MASK 255.255.255.240
Допустимые IP в сети 10.10.10.18-10.10.10.30
Сеть 10.10.10.32/27
IP 10.10.10.33
MASK 255.255.255.224
Допустимые IP в сети 10.10.10.34-10.10.10.62
Сеть 10.10.10.64/26
IP 10.10.10.65
MASK 255.255.255.192
Допустимые IP в сети 10.10.10.66-10.10.10.126
Сеть 10.10.10.128/25
IP 10.10.10.129
MASK 255.255.255.128
Допустимые IP в сети 10.10.10.130-10.10.10.254

Вот, в принципе, для общего представления я описал весь диапазон 10.10.10.0/24 учетом /30 сети взаимодействия
в начале диапазона.

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

aepot
1. Сервисная площадка не ограничивает нас в количестве айпов,
подтыкай через тупой свич хоть все 253 машины. (мало будет - еще дадут)
2. Мы не можем вывести все свои компы напрямую.
3. Правило один "айп/мак - одна сессия" - создает проблему
4. Не стоит выступать заменителем сетевого калькулятора - их в сети как грязи. (намек понятен?)
======================

danilovav, Dima G. thanx за подсказки, попробую покопать в эту сторону.
======================

У саппорта идеи есть по проблеме?

Еще раз повторяю - никаких привязок DFL не делает. Функция ARP делает две вещи - отвечает на ARP вместо других устройств, чтобы снизить на них нагрузку в виде ARP запросов. И второе - публиковать доп. IP на физических интерфейсах для организации дополнительного шлюза, но с тем же МАК адресом. Ведь это все написано в мануале. А самое главное - уже давно протестировано на практике.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)