Добрый день.
Есть DFL260E(1) с реальный айпи, который через DMZ соединен со вторым DFL260(2) DMZ
т.е. работает следущая цепочка (WAN1> DMZ1 > DMZ2>LAN2)

IPsec между DMZ1 и DMZ2 соединяющий LAN1 и LAN2
Настроен переброс порта 25
1)wan all-net core wan-ip SAT IP_LAN1
2)wan all-net core wan-ip NAT (Allow не заработал, вычитал что при такой схеме нужент NAT)

есть правила разрешающие
3)ipsec0_14 all_net ipsec0_14 all_net allow

Все работает, но проблема в следущем из-за NAT в правиле (2) на почтовый сервер приходит соединение не от внешнего IP, а от адреса (1)DFL-260E - IP_LAN1_ROUTER из-за чего работа фильтров спама по IP отправителя становиться невозможной:(
Каким образом можно сделать переброс порта в этой схеме чтобы IP адрес отправителя дошел до IP_LAN2?

Надо именно SAT+Allow, а не SAT+NAT
Чтобы заработало, надо в параметрах IPsec поставить сеть all-nets со стороны DFL-260E(1)

DFL-260(1)
1) Rules > IP rules
Меняете SAT+NAT на SAT+Allow
2) Interfaces > IPsec > ipsec_tunnel
Local network = all-nets

DFL-260(2)
1) Intrefaces > IPsec > ipsec_tunnel
Remote network = all-nets
Снимите галку Add route for remote network
2) Routing > Routing tables > main
Сделайте маршрут ipsec_tunnel remote_network 100 по аналогии с тем, что будет удаленным после снятия галки автомаршрута
3) Routing > Routing tables
Добавьте таблицу маршрутизации ipsec_tunnel
Добавьте в нее маршрут ipsec_tunnel all-nets 100
4) Routing > Routing rules
ipsec_tunnel/all-nets any/all-nets, forward main, return ipsec_tunnel

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо большое - все работает.