Добрый день.
Имеется в наличие сабжевый фаервол. Собственно проблема с настройкой. Имеется внешний wan интерфейс с 5 ip адресами на нем. Почитал мануалы, как настраивается, все делал строго по ним.
То есть добавляю в ARP Publish нужные адреса, затем в маршрутах добавляют роут на Core этого ip адреса.
В правилах добавляю ICMP протокол чтобы попинговать, как из внутренней сети так и снаружи.

Так вот собственно в чем вопрос, из внутренней сети lan1 пингуется отлично, а если пинговать извне, не пингуется вобще.
В логах тишина, то есть такое ощущение что этого ip вобще нет.
Правила выглядят следущим образом

Пинг из lan
lan1 ---- core
lan-net --- wan1_ip5

Пинг для внешнего мира
wan1 --- core
all-nets ---- wan1_ip5

Собственно вопрос, как сделать чтобы из внешнего мира на эти доп. IP тоже можно было достучаца?

wan_ip5 у вас входит в основную маску, предоставленную провайдером (wannet) или у вас подсеть, смаршрутизированная через один адрес?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Входит в основную маску предоставленную провайдером.
Потом я буду через эти IP пробрасывать во внутренню сеть различные сервисы, веб, фтп и т.д.
Для начала нужно чтобы хотябы запинговались они снаружи. Основной ip адрес, который не через arp публикуется, виден снаружи отлично.

Еще одно наблюдение.
Завожу остальные IP адреса на этот wan интерфейс, и все они работают. То есть сделано все идентично, все правила один в один. И все остальные ip работают, а этот не хочет. Что делать ума не приложу?

Выглядит это так
65.114.80.210 - основной IP, естественно работает
65.114.80.211 - опубликованный через ARP - не работает
65.114.80.212 - опубликованный через ARP - работает
65.114.80.213 - опубликованный через ARP - работает

Версия прошивки - 2.26.00.06
Очень похоже на глюк устройства, может его сдать по гарантии?

Вообще, DFL - весьма безглючные устройства, если с железом все в порядке.

Попробуйте какой-либо из работающих дополнительных адресов заменить на неработающий, а неработающий временно выключить. заработает ли?

Может этот IP уже кем-то занят в этой подсети? Т.е. проблема не у вас. Можно попробовать компом поключиться в эту сеть, попинговать тот адрес и через arp проверить не сидит ли кто- на нем уже.

такая вот трассировка до вас

C:\Documents and Settings\Администратор>tracert -d 65.114.80.210 -w 500

Трассировка маршрута к 65.114.80.210 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс
2 1 ms 1 ms 1 ms
3 <1 мс <1 мс <1 мс
4 1 ms 2 ms 1 ms
5 92 ms 93 ms 95 ms 213.248.79.221
6 94 ms 91 ms 94 ms 213.248.79.221
7 80 ms 80 ms 80 ms 80.91.253.210
8 94 ms 95 ms 94 ms 213.155.130.89
9 167 ms 168 ms 170 ms 80.91.246.66
10 158 ms 159 ms 158 ms 213.248.88.178
11 * * * Превышен интервал ожидания для запроса.
12 225 ms 227 ms 224 ms 205.171.12.18
13 223 ms 229 ms 225 ms 205.171.12.17
14 226 ms 225 ms 226 ms 205.171.12.18
15 226 ms 227 ms 225 ms 205.171.12.17
16 229 ms 226 ms 226 ms 205.171.12.18
17 227 ms 226 ms 229 ms 205.171.12.17
18 225 ms 226 ms 226 ms 205.171.12.18
19 223 ms 224 ms 227 ms 205.171.12.17
20 227 ms 225 ms 228 ms 205.171.12.18
21 226 ms 227 ms * 205.171.12.17
22 225 ms 228 ms 225 ms 205.171.12.18
23 227 ms 245 ms 223 ms 205.171.12.17
24 224 ms 228 ms 225 ms 205.171.12.18
25 244 ms 240 ms 227 ms 205.171.12.17
26 226 ms 228 ms 229 ms 205.171.12.18
27 227 ms 226 ms 227 ms 205.171.12.17
28 227 ms 227 ms 229 ms 205.171.12.18
29 226 ms 227 ms 227 ms 205.171.12.17
30 227 ms 229 ms 228 ms 205.171.12.18

Трассировка завершена

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Фишка в том, что провайдер выделил нам подсеть с маской /29, то есть 6 реальных IP. Как может быть что один из этих ip уже занят? Если это не глюк dfl 1600, то я даже теряюсь в догадках.

Сам адрес xx.xx.xx.211, не пингуется вобще никак, то есть если объявлять его через arp или не объявлять.



Извините, я вас слегка обманул, записывал по памяти и ошибся. На самом деле не рабочий IP адрес - 62.117.80.211 подсеть соответственно 255.255.255.248

Вы легко можете исключить DFL из уравнения, если опубликовать этот адрес на DFL и попинговать его с компа, находящегося в этой же внешней подсети.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Такого компа пока нет, но за наводку спасибо

И еще вопрос, что такое Default Access Rule? Теперь меня вобще с инета перестало пускать на длинк, даже на страницу на строек.
В логах пишет что запрещено в связи с этим default rule. Хотя у меня в настройках длинка выставлено, что пускать на страницу настроек до всяких правил. То есть пускать по любому. Чувствую что это как-то связано с маршрутизацией, вернее с ее не правильной настройкой. Может кто сталкивался с этим?

Default access rule это отбойник для пакетов, которые не попадают под правила.
Чтобы пускало в админку из интернета, сделайте System > Remote management

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за подсказки, оказывается если настроено два реальных IP на разных внешних интерфейсах (wan1, wan2), нужно делать дополнительное правило маршрутизации. Чтобы извне можно было достучаться до них.
Внутри локальной сети, настроен failover, в случае если гаснет линк на одном интерфейсе, автоматически подхватывается другой. И он работает должным образом