Схема сети и тех. данные представлена на рисунке.
В настоящий момент что бы производился обмен данными между 192.168.45.0/24 (lannet) и 10.70.0.0/16 (vpn_net) на ПК в lannet на сетевую карту добавлен еще один IP адрес из диапазона 10.70.101.0/24
и прописан маршрут - route add -p 10.70.0.0 mask 255.255.0.0 10.70.101.1. Все функционирует - я вижу оборудование в vpn_net, железки оттуда передают информацию ко мне.
Дабы не городить такой огород, хотелось бы возложить это на DFL.
Добавил в табл. main Route вида:
Int. lan
Network: 10.70.0.0/16
Gate: 10.70.101.1
Metric: 90
Добавил правило вида: Allow lan/lannet lan/10.70.0.0/16 all-services (также пробовал вместо allow - forward fast) - результат отрицательный:(
Подскажите, в какую сторону покопать?

Подобные темы появляются пепеодично . Ищите по форуму . Месяц назад человек решал подобную задачу .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

схемка не самая плохая, но не полная. Не очень понятно взаимное расположение подсетей и их шлюзов с указанными адресами интерфейсов.
В частности, совершенно неясно расположение сети 10.70.101.0/24 и устройств в ней. Шлюза 10.70.101.1, компа, играющего роль шлюза между сетями.
Вы же, вроде, не первый год замужем, чтобы так неполно описывать топологию?

Укажите пропускную способность для обоих инет каналов и VPN канала.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Доскажу историю - всю эту приблуду делал Ростелеком, что бы у нас была общая локалка (10.70.0.0/16) между телефонными станциями (порядка 30 штук) по всему городу и 4-мя офисами. Соответственно для каждой точки выделяется подсеть вида 10.х.х.х/28, а для офисов вида 10.х.х.х/24 - в моем случае 10.70.101.0/24.
Насчет шлюзов, подсетей и компов: Самый простой путь - это поменять адресацию в офисе,то есть вместо lannet (192.168.45.0/24) прописать для всех ПК за DFL 10.70.101.0/24, выделив DFL допустим адрес 10.70.101.2.
Но практика показала, что на данный момент это не вариант. Поэтому и сделаны были костыли в виде доп. адреса на сетевухе и стат. маршрута.
Шлюз 10.70.101.1 - находится где то за пределами офиса у Ростелекома. Мы его знать не знаем:) Для нас просто выделен 3 порт на их коммутаторе (порты 1 и 2 для уч. записей интернета PPOE) и с него просто идет патч-корд в наш свитч локальной сети. (см. схему).
Пропускная способность для для каждого интернет канала - 2 Мбит/сек.
Пропускная способность для для vpn сети - 100 Мбит/сек.

Общая пропускная способность, если все каналы полнодуплексные (100+2+2)*2 = 208 МБит/с. Это выше пропускной спосбности DFL-260E (150 МБит/с).

Однако, если на это не обращать внимания, то нужно сделать так:

Один из LAN портов сделать отдельным VLAN. и на него посадить сеть 10.70.101.0/24 и доступаться через него к шлюзу 10.70.101.1. Разумеется, плюс маршруты и IP-правила.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за совет!
Пропускная способность нас особо не волнует, ибо трафик от оборудования идет не особо объемистый.
А если как вариант попробовать подвесить по аналогии с ПК на интерфейс LAN еще один IP адрес? свободных физических портов уже нет, все забито (1 порт - под 3-го провайдера, один в свитч в локалку, остальные задействованы под VLAN) расширится до 8 vlan путем установки управляемого коммутатора - нема золотого запасу:)

Т.е. все физические порты под что-то заняты?

Ну тогда, действительно, можно посадить все на дополнительный адрес. Это не шибко красиво, но работать будет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо еще раз за советы!
Лучше все же один раз прописать на Lan интерфейсе второй адрес (хоть и некрасиво) чем прописывать маршруты на множестве ПК и вбивать на них второй IP.

Такой вариант даже не рассматривался. Разумеется, DFL должен быть шлюзом до всех сетей, включая 10-ю.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Возвращаясь к теме:
Освободил один порт на DFL, сделал там отдельный VLAN90 (vlanip 10.70.101.100 & vlan90_net 10.70.101.0/24 ) и загнал туда провод с коммутатора провайдера (3 порта).
Добавил маршрут вида:
Int. vlan90
Net. 10.70.0.0/16
Gate 10.70.101.1
Меtric 90
Также создал два правила с действием "Allow" для доступа из Lannet (192.168.45.0/24) в vlan90_net (10.70.101.0/24) и обратно.
Но достучаться из 192.168.45.0/24 в 10.70.0.0/16 не удается. Пинги не идут, в логах пакеты отбрасываются:(

Правила не охватывают всю нужную сеть. пробуйте пинговать с DFL

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

С DFL как раз пингуется, и шлюз 10.70.101.1 и адреса в сети 10.70.0.0/16 - например адрес 10.70.6.5

Надо не забывать о маршрутах в нужные сети и об IP-правилах. Как обычно, две самые важные вещи.

правила такого вида у вас есть?
Allow lan lannet vlan90 net_10.70.0.0_16 all_services
Allow vlan90 net_10.70.0.0_16 lan lannet all_services

А если есть, расположите их выше других

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, правила такие есть (сделал скриншоты), переместил их в самый верх.
Заодно покажу основную таблицу маршрутизации.
Но все равно из lan не стучится в 10.70.0.0/16.

P.S. Rostelekom_network - это 10.70.0.0/16.
Rostelekom_Gate_Pco - это 10.70.101.1

Я понял. Ваша сеть 192.168.x.x элементарно не маршрутизируется в 10-й подсети. Собственно, и не должна. Выходить в нее можно только через NAT. В одну сторону.

Если же надо в обе, то надо делать 10-ю подсеть у вас или реализовать трансляцию подсетей.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.