Растащил две сети, одна просто LAN, другая VLAN на двух портах встроенного свича.
Все ок, все получают IP в разных сетях, ходят в один инет и не видят друг друга.
Встала задача некоторым компам дать доступ в пару компов соседней сети.
Как не бился, разрешая правилами весь траффик в обе стороны, ничего не вышло... Даже пинга нету.
1. Может маршруты дополнительно надо писать (вроде дефолтные нормальные)?
2. Хотя есть мысль что файлволлы W7 и server2008 не пускают типа "чужие"...
Спасибо кто откликнется

мысль хорошая. это вполне возможно.

какие правила прописывали?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Маршруты стандартные
Правила allow с ограничением по source/destination networok (address)
Файрволы/антивирусы - смотрите...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ну да, из LAN/LANNET в VLAN/VLANNET all_service и обратно...
Метрика дефолтного маршрута 100, как и все, ставил галочку Enable transparent mode (не помогло)... GW на VLAN-е нету, вроде и не должно.
Полезу ковырять FW... .

поменяйте действие с Allow на NAT, если проблема решиться - дело в фаерволах на компьютерах

Transparent mode не надо
Подсети надеюсь у вас разные

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да это я уже так, от безисходности ставил что не попадя
Сети конечно разные lan 192.168.2.0/24 и vlan 192.168.10.0/24

Пинги не проходят даже из соседней сети на IP адрес роутера в другой подсети...
т.е. с компа из vlan на адрес роутера в lan, в этом случае FW не должен мешать... по идее.

Верно. Только для этого надо создать разрешающее правило.

Можете временно для тестов в самом верху создать правило
allow any all-nets core all-nets ping-inbound.

Но оно же разрешит пинг снаружи. Поэтому лучше всегда делать такие правила ровно для того. что надо.
Я обычно делаю
allow <группа_локал_инерфейсов> <группа_локал_сетей> core <группа_всех_адресов_ядра_DFL> ping-inbound.

и еще. Всегда, когда есть проблемы с правилами, на время отладки делайте их выше всех остальных.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А DFL на компах в локалке шлюзом прописан, надеюсь?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, в этом все ок, там DHCP сервера все раздают как надо...
Сегодня, борясь с vois-IP адаптером, обнаружил смешной косяк один на серваке - предыдущий админ поставил на интерфейсе два адреса и дополнительный, зараза, был как раз из VLAN После устранения попробовать не успел, теперь после отпуска.
Спасибо! Если чего стукнусь недели через три

Вопрос немного не в тему - у меня DFL 260е, нужно раздать интернет в сети 192.168.1.х и сеть 192.168.1.хх . На первую сеть Lan, вторая - через Vlan. задача - что бы эти сети не могли видеть друг друга, но могли получать интернет.
Вроде все просто, но при одинаковых подсетях (192.168.1), инет идет только в Lan( как настроить, что бы и в Vlan проходил инет?

P.S. Vlan и Lan в группы объеденил, указал им общие правила.
Спасибо.
P.S.S Если меняю на Vlan подсеть на 192.168.2.х, интернет работает и на lan и на Vlan.

Дорогой товарищ. Запостите свою тему. Зачем же писать во все подряд?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.