Всем добрый вечер. Тема наверно неоднократно поднималась, но похожую проблему не нашел.
Есть провайдер. Выдает 2 подсети 82.х.х.144/29 и 77.х.х.48/28. Все работает без пптп и вланов, нужно только прописать эти адреса на интерфейс и все. Через 1 шлюз работают обе подсети.
Есть локальная сеть класса А - 10.0.0.0/24
И есть ип камера которая не умеет работать через нат. Она передает адрес другой камере который у нее прописан. Т.е. с серыми адресами за нат не получится соединиться, нужны реальные ип адреса.
Так вот суть в чем, нужно камере выдать реальный ип адрес из подсети 82.х.х.144/29.

Я так понимаю нужно на дмз порту выделить 1 адрес из этой подсети и маску соответственно меньше чем дает провайдер/ а именно /30. Далее я даю камере адрес из этой подсети и шлюз дфл и делаю правила
allow - dmz dmz_ip_camera wan all_nets all_services

Правильно ли я понимаю или нужно как-то по другому крутить правила ?
И еще можно ли сделать так чтобы только камера могла пользоваться этим адресом а не кто-то еще ?

Для настройки DMZ у вас есть 2 варианта
1) классический роутинг - теряете один адрес на dmz_ip, он будет являться шлюзом для хостов в DMZ. Идеален если у вас подсеть смаршрутизирована провайдером на ваш белый адрес. Но даже если нет, будет работать, только включите proxy ARP в маршруте dmz/dmznet до wan.
2) transparent mode - хосты в DMZ будут использовать провайдерский шлюз. Тут все работает менее явно, но хосты в DMZ ничего особо о DFL и не знают, а функции файрвола сохраняются.
Необходимые IP rules пишутся одинаково в обоих вариантах.

Ограничение по адресу для камеры делается при помощи static ARP.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

После сегодняшних проб, получилось только по 2 варианту, а именно transparent mode.
А вот 1 вариант почему-то не заработал, вроде все показывается в status - connections что есть соединение, но ответа нету.
Делал именно как вы сказали
1) Выделил ип из подсети провайдера на dmz_ip(82.х.х.146) и сделал подсеть dmz_net(82.х.х.144/29)
2) Потом Сделал разрешающие правила
allow camera_ip(82.х.х.147)/dmz_net wan/all_nets all_services
allow wan/all_nets dmz/camera_ip all_services
В логах ничего не блокируется, соединения есть из dmz в wan, но ничего не открывается и не отвечает по пингу.
3) Подумал что пров все таки как-то хитро маршрутизирует эту подсеть, убрал галку автосоздание маршрута с dmz и добавил вручную маршрут с применением proxy arp на wan.
Но тоже ничего нету, соединения есть но ничего не открывается и не пингуется.
Может я что-то не так делаю, может что-то нужно по другому настроить ?

У камеры (147) шлюзом dmz_ip (146) прописан?
Если наоборот, извне запустить пинг, какая ситуация будет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1) Да шлюз прописан 146
2) Пинг не проходит, ситуация такая что пакеты походу ходят токо в одном направление а в обратку нет.
Прокси арп не надо включать на wan в сторону dmz ? Или еще чего включать ?

Смотрите логи, смотрите коннекты - куда идут пакеты
В любом случае, если у вас заработал прозрачный режим, оставьте его

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Логи чистые, т.е. нету дропов. Коннекты все норм, из дмз в ван.
Прозрачный мне неудобен для настройки маршрутизации между локальными клиентами, т.к. шлюз используется провайдерский, а не дфл где есть инфа о всех подсетях внутренних.
У меня вопрос, эта схема с выделением 1 ипа в подсеть дмз и настройкой правил соответствующих рабочая или чисто теоретическая возможность ?

Да, конечно. Покажите (скриншотами) что настроили - адреса интерфейсов, таблицу main, правила PBR если есть захватывающие трафик с dzm/wan, Status > Routing.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ох, смогу только после праздников, спасибо за помощь

Итак, во время праздников было время поиграться и вот как у меня получилось
1) Добавил подсеть 82.х.х.144/29 на wan1 в таблицу маршрутизации
2) Т.к. во время тестов пришлось перенести камеру из dmz в lan, делал все с интерфейсом lan.
Добавил один из адресов 82.х.х.146 в таблицу маршрутизации с такими настройками
wan1 82.х.х.146 шлюз_пусто local_ip - указал шлюз прова, а это 82.х.х.145
все таки после полного рестарта дфл нужно во вкладке прокси арп указывать wan1
3) После этого я добавил разрешающие правила в IPRules
allow lan/82.х.х.146 wan1/allnets all/services
allow wan1/allnets lan/82.х.х.146 all/services
4) Настройки на камере я использовал те что выдает пров
5) Теперь я могу добавлять правила ип камеры в лан/дмз/влан и обратно, все друг друга видят, все получилось, так же все работает без пункта 1 и без потери
диапазона реальников которые выдает пров.

upd1- добавил поправки в пункт 2