Подскажите, уважаемые специалисты.
Есть DFL-260, который смотрит в интернет, частную сеть и локальную сеть.
Когда я настраиваю WAN, то все хорошо, в локальной сети есть интернет. Только он не работает без прописывания DNS-серверов на каждой машине. Пробовал вписать DNS-сервера в настройках (Система->DNS) но опять все по-прежнему, т.е. ping ya.ru не идет, только по IP. Где еще можно покопаться?
И второй вопрос, как правильно настроить маршрут? Чтобы при обращении к диапазону 1.0.*.* запрос выполнялся в LAN1-4, при обращении к 172.16.88.* и 192.168.*.* выполнялся в DMZ, а в остальных случаях отправлялся в WAN?
Спасибо!

Поднимите в ЛВС предприятия DHCP сервер, можно и на DFL-260.

Статическая маршрутизация

У нас в сети IP по этажам и кабинетам присваиваются. Возможно ли как-то это реализовать для статических адресов?

я так и не понял. чего вы хотите с dns?

раздавать динамически. назначать статически или делать DNS-релей?

Со вторым вопросом - просто прописываете маршрут в таблице main на нужную сеть через нужный шлюз и пишете соответствующие разрешающие IP-правила.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Хочу, чтобы на машинах с статическими IP в локальной сети был интернет, без прописывания DNS на каждой машине.

это невозможно. Какие-то рабочие DNS серверы придется прописать. Провайдерские или публичные Гугловские или свои.

Либо работать без имен. Только по IP адресам. Но это не модно и временами просто невозможно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ладно, с этим вопросом более-менее понятно. Спасибо за ответы!

Но вот с маршрутизацией никак не разберусь.
Создаю правило lan/lannet - dmz/dmznet allow all_tcpudpicmp
и пинга нет
даже не могу шлюз dmz пропинговать, и не только шлюз, но и ip, которым DFL смотрит в dmznet
маршрут стандартный стоит:
имя: dmz
ip адрес: dmz_ip
сеть: dmznet

тему про маршрутизацию читал. на мой взгляд все нормально должно работать.

для пинга DFL-я надо создвть правило. типа
allow lan lannet core dmz_ip ping_inbound

По умолчанию все запрещено.

А правило для доступа, вероятно, должно быть таким

NAT lan/lannet - dmz/dmznet all_tcpudpicmp

А вмсето статических адресов можете раздавать их динамически, но одни и те же, с привязкой по MAC

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Получилось, когда правило через NAT сделал.
Теперь еще более интересный момент. Шлюз 172.16.88.1 предоставляет доступ к 3м IP: 192.168.9.5, 192.168.9.2 и 192.168.7.4
мне их в маршрутизации как прописать?

Совершенно не интересно.

Делаете группы из этих адресов и прописыватет в таблице main для них маршрут. И не забываете об IP-правилах.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Всем спасибо за помощь!
Прописал 3 правила через NAT для каждого сервера, в качестве сети назначения указал IP сервера,
И добавил в таблицу маршрутизации соответствующие записи, указав в качестве сетей назначения IP серверов

через группу адресов было бы красивее и короче. Хотя смысл ровно тот же.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.