Всех приветствую!
Коллеги, прошу совета

DFL210- смотрит в инет, виден по адресу хх.хх.хх.250, и делает NAT для подсети lan (192.168.1.0/24),
192.168.1.80 - это веб-сервер( рабочий, на 80 порту отвечает).

DFL800 - смотрит в инет, виден по адресу xx.xx.xx.251, тоже делает NAT для другой подсети.

естественно хх.хх.хх.251 и хх.хх.хх.250 в одной подсети

Я хочу пробросить порт с хх.хх.хх.251:8000 на 192.168.1.80: 80. то есть пробросить с одного длинка на другой, да еще за NAT закинуть. Извращенец такой )))

Сразу идея : туннель с одного длинка на второй. Пока выбрал самый простой вариант - dfl800 лезет как pptp-клиент на dfl210(соответственно там pptp-сервер есть).

по pptp на dfl210 люди спокойно заходят из внешнего мира, и dfl800 туда тоже подключается, получает адрес, скажем, 192.168.1.37. здесь ок. все как положено

встроенным пингом с dfl800 адрес 192.168.1.80 пингуется. то есть, он его видит

на dfl800 стоят типовые правила проброса портов
по идее, должно быть достаточно.

SAT any/all-nets - core/xx.xx.xx.251 service=port8000
(destination address=192.168.1.80 destination port=80 )

Allow any/all-nets - core/xx.xx.xx.251 service= port8000

И проброс не работает. Порт 8000, тем не менее, открыт.

Чего еще не хватает?

Как я понимаю
1) 800 подключается как РРТР клиент к 210
2) На 210 приходит запрос извне
2) 210 передает запрос через РРТР на 800

В таком случае
- во-первых, SAT/Allow делается на обоих DFL. Избавьтесь от any в правилах
- во-вторых, на 800 делается альтернативная таблица маршрутизации, в нее помещается единственный дефолтроут на РРТР соединение и делается правило PBR pptp_client/all-nets, any/all-nets, forward main, return alt

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

наоборот:
на 800 запрос извне, 800 передает запрос на 210






то есть, соответственно, альтернативную таблицу маршрутизации надо делать на 210 ?




не совсем понял вашу мысль.
1) в чем проблема с any ?
мне же надо, чтобы с 800 с его внешним адресом хх.хх.хх.251 порт был виден из внешнего мира..
Any фигурирует в обычном способе проброса портов ( any/all-nets - core/ip).

2) SAT/Allow на 800 - проброс на pptp_client - логично.
а на 210 что я делаю SAT/Allow ?

Нарисуйте схему, на каком DFL РРТР сервер, на каком клиент, куда приходят запросы и где внутренний сервер

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

смотрите



http://s54.radikal.ru/i146/1105/c1/3547bb3a632d.png

На DFL-800
РРТР клиент до DFL-210 с удаленной сетью 192.168.0.0/24
SAT+Allow правило на 192.168.0.80

На DFL-210
Альтернативная таблица маршрутизации (например, alt) с дефолтроутом на РРТР сервер (без шлюза)
PBR правило pptp_server/all-nets any/all-nets, forward main, return alt
Allow правило pptp_server/all-nets lan/192.168.0.80 выше основных правил РРТР сервера


Альтернативно, видится как минимум еще один вариант
Выведите свободный интерфейс DFL-800 в сеть 192.168.0.х и сделайте SAT+NAT, если вам не важны IP обращающихся
Вариантом сделать чуть покрасивее будет использовать между 80 сервером и этим вторым интерфейсом DFL-800 другой подсети

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А собственно говоря, как на длинке сделать дефолтроут?
Насколько я вас понял это

# Type Interface Network Gateway Local IP address Metric Monitor this route
1 Route core xx.xx.xx.250 70 No

pptp_server all-nets 100
Но в таблице alt!

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc