Как я понимаю с аналогичной проблемой здесь уже сталкивались. К уже сказанному добавлю свой негативный опыт.

Дома локальная сеть - 3 компьютера Win'XP Prp SP2, постоянно работающий сервер Win Server 2003 SP1 (HTTP, FTP, Media и т.д.), принт сервер D-Link. Упомянутый сервер шлюз, выход в инет через него по двум независимым каналам через PTPP (в квартире 2 витых пары от разных провайдеров и соответсвенно 2 разных реальных IP у сервера). Все работает прекрасно.

Захотев разгрузить сервер, прикупил VPN-маршрутизатор DI-804HV (firmware V1.40). VPN-соединение заработало сразу, проблемы начались, когда я попытался перенаправить внешние запросы на имеющийся сервер через Virtual Server. Внешний IP пинговался, но разумеется, веб-странички НЕ ОТКРЫВАЛИСЬ.

Потратив пол-дня без каких-либо результатов, я решил упростить ситуацию и просто воткнул устройство в LAN обоими портами, отрубив внешнюю сеть. Конфигурация следующая

Веб-сервер - 10.100.100.20
Принт-сервер -10.100.100.10
DI-804HV LAN - 10.100.100.21
DI-804HV WAN - 10.100.100.22
Рабочая машина - 10.100.100.11

Как и следовало ожидать, попытки перенаправить "внешний" IP 10.100.100.22 на "внутренние" .20, .10 и даже .21 ни к чему не привели. Разумеется в сети есть файрволы, но этот диапазон входит в trusted zone. C рабочей машины напрямую все открывается.

В чем может быть проблема? Кто-нибудь встречал описание аналогичной проблемы на англоязычных сайтах.

Нарисйте схему Вашей сети с указанием ip адресов и т.д. Дополнительно обновите версию firmware в DI-804HV до 1.42.

Ерунду вы полную нагородили. Как и следовало ожидать - ничего не заработало, и не должно было заработать в принципе!

Ваша проблема в непонимании устройства TCP/IP, способов адресации и устройства NAT.
Для начала изучаем базис TCP/IP и только после этого лезем что-то там настраивать.

Вот картинка

На пунктирную линию пока не обращайте внимание.

С помощью компьютера №2 настраивался роутер, Компьютер №1 имитировал внешнюю сеть. Внешний порт 10.100.100.22:80 отображался либо на сервер (10.100.100.20:80), либо на принт-сервер (10.100.100.10:80). Прошивка 1.42. Все адреса статические, DHCP отключен.

С компьютера №1 http://10.100.100.22 не открывается, как не открывался и раньше в любой другой конфигурации. Хотя порт живет, пинг во всяком случае проходит, да и раньше VPN сессия открывалась без проблем. Порблема видимо в работе виртуального сервера.

К вопросу о ерунде. Даже, если я отключу компьютер №1 и замкну напрямую WAN и один из свободных LAN портов (пунктирная линия) ничего принципиально не должно измениться. WAN порт ничего не знает про свое окружение, его задача перенаправлять пришедшие пакеты во внутреннюю сеть в соответсвии с NAT таблицей роутера и, где в случае с виртуальным сервером одно из правил прописано в явном виде.

TO: Arkadi, Goblins Chief. Просьба не беспокоится с ответами. Ваш тон неприемлем.

А мне и отвечать нечего кроме как повторить: ерунду вы полную нагородили. Как и следовало ожидать - ничего не заработало, и не должно было заработать в принципе!

Можете обижаться. Только я бы посоветовал вникнуть в базис вместо обид.

2 esd
Аркадий верно говорит - учите мат часть!

во-вторых
адреса надо указывать вместе с масками!

_________________
Даешь связистов без брака!
AB4790-RIPE

Маски везде 255.255.255.0. Ну и почему это не дожно работать в принципе?

Пакеты на 10.100.100.22 на 80 порт извне приходят, только роутер их не пропускает внутрь, хотя и в файрволе и в виртуальном сервере путь прописан.

установите локальную сеть класса С типа 192.168.0.x / 255.255.255.0
настройте нормальный роутинг!

Вам кто выдает DI-804HV WAN - 10.100.100.22
провайдер? а вы не думали что другие адреса провайдер тоже занял!

"Как я понимаю с аналогичной проблемой здесь уже сталкивались. К уже сказанному добавлю свой негативный опыт. "
Негативный опыт...
Млин, я тоже имел негативный опыт когда 1-й раз в 14 лет сел за руль! Но я же не кричал что ВАЗ должен научить мен вождению

_________________
Даешь связистов без брака!
AB4790-RIPE

10.100.100.x/255.255.255.0 это мое домашнее адресное пространство и ничего другого я использовать не могу, поскольку во внешней сети адреса

10.0.0.x/255.255.255.0
10.4.0.0/255.255.255.0
192.168.x.x/255.255.0.0

уже занятs провайдерами. А сеть 10.100.100.x/255.255.255.0 это такая же нормальная сеть класса С. У с роутингом у DI-804HV все было нормально (NAT и VPN работали), пока я не попытался транслировать внешний порт на внутренний IP адрес.

Поэтому утверждения вроде "...установите локальную сеть класса С типа 192.168.0.x / 255.255.255.0 настройте нормальный роутинг!" это все равно что, поставте вместо D-LInk CISCO за $2k. Все должно настраиваться за пару минут.

Что тут можно настраивать, если все окружение DI-804 работает как надо и все кому надо видят кого надо и нормально выходят в интернет даже через DI-804HV, только он отказывается работать в одном из режимов. Он что, только с 192.168.0.x/ 255.255.255.0 работать умеет?

Я начал-то с нормально работающей конфигурации, где DI-804HV был подключен к провайдеру напрямую и вроде работал. Не заработал только виртуальный сервер.

Небольшой отчет.

Проблема с виртуальным сервером была решена следующим образом. Видимо из-за того что в сети было несколько шлюзов, пакеты из внешней сети, посланные на виртуальный сервер и прошедшие через роутер на сервер в локальной сети, обратно шли другим путем. Пришлось подправить маршрутизацию. Т.е. для локального сервера шлюзом должен быт этот самый DI-804HV. Вроде как все после этого все заработало.

Получается, что виртуальный сервер меняет в пакете только адрес и порт получателя на аналогичный из локальной сети, не создавая при этом таблицы аналогичной NAT. Это так?

Все абсолютно верно, для локального сервера шлюзом должен быть DI-804HV. Плюс LAN IP и WAN IP адреса у DI-804HV должны быть из разных подсетей, а у Вас они в одной подсети 10.100.100.x/255.255.255.0 .