Имеется DFL-1660, в который включаются два провайдера (static_ip). Балансировка, резервирование - все работает.

Один из провайдеров так же дает пул белых адресов, которые мы, в свою очередь, передаем нашим клиентам. Уперлись в то, что не можем именно таких клиентов выпустить в Интернет. Все остальные (с адресами внутренней сети) работают без проблем.

Первый (и основной) дает сеть 195.112.255.0/26, второй 194.186.88.220/30.

Соответственно, от второго оператора: 194.186.88.221 - это у нас wan2_gw, 194.186.88.222 - wan2_ip.
От первого: 195.112.255.1 - wan1_gw, 195.112.255.2 - wan1_ip, а весь остальной диапазон (195.112.255.3 - 195.112.255.63) раздаем
клиентам. И пока что-то никак не получается выпустить их во внешний мир. Пример с пробросом портов тут не совсем, как мне кажется, подходит. Или подходит, но я не понимаю, как его использовать в нашем случае. Прошу помочь советом.

Cудя по Вашему рассказу, провайдер не маршрутизирует на ваш шлюз раздаваемую сеть (что более правильно), а ожидает эти адреса непосредственно на wan-интерфейсе. Поэтому вешаете эти адреса на wan
(см. в фак, как назначить доп. адрес на интерфейс), а дальше -- обычный "проброс портов" (SAT). Возможны и другие варианты (прозрачный режим), но IMHO более удобно, как я написал. Если будет время и оно Вам надо -- постараюсь изложить подробнее.

alex63, все верно, никакой особой маршрутизации от вышестоящего нет и любой из адресов, входящий в упомянутый диапазон, получает доступ в Интернет через шлюз провайдера. От идеи с пробросом портом я ранее отказался как раз потому, что не представлял, как в этом случае, собственно, белые адреса выйдут наружу. Про то, что их можно повешать все на wan, честно скажу, даже не подумал. Выходит, мне нужно будет прописать 60 с лишним адресов на один интерфейс и создать для каждого правила? С факом сейчас обязательно ознакомлюсь. Но вместе с тем был бы весьма и весьма благодарен более развернутому ответу от опытного специалиста для конкретно нашего случая.

Вешать на WAN адреса не стоит.

Добавьте на lan один из адресов пула /26, он будет шлюзом для клиентов.
Маршрут lan/lannet выключите автоматический и сделайте руками с ARP proxy до интерфейса wan1.
Настройте Allow правила между lan и wan1, для резервирования оставьте NAT lan > wan2.

Есть еще вариант с transparent mode, но как он будет работать с резервированием, я на вскидку не скажу.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav, описанная вами схема практически один в один совпадает с той, что у нас сейчас используется на сервере доступа в Интернет. Сейчас оба провайдера включены в него, но я хочу снять с этого севера маршрутизацию и перевести на DFL, в связи с чем весь этот сыр-бор и начался.

Что касается резервирования, тут, как ни крути, а с клиентами, использующими белые адреса, оно работать не будет, т.к. эти адреса арендуем у одного из провайдеров, соответственно, если его канал ляжет, то и клиенты с адресами из его сети будут отдыхать. Т.е. с этим вопросом я пока даже не заморачиваюсь. Мне важно просто обеспечить им работу.

alex63, danilovav, благодарю вас за помощь! Буду сегодня пробовать оба предложенных варианта, напишу, что получилось (или не получилось).

danilovav, не могли бы вы подробнее остановиться на этом пункте:
> Маршрут lan/lannet выключите автоматический и сделайте руками с ARP proxy до интерфейса wan1

Это ведь один из дефолтных маршрутов? Не получается его не отключить, ни отредактировать. С ARP тоже непонятно, что именно прописать?
Скажем, выделил я адрес 195.112.255.5 для добавления на lan-порт. Его прописываю в ARP:


А для wan1 как запись должна выглядеть? Или я совсем не то делаю?

Я вам говорил не об ARP publish, а о ручном маршруте lan/lannet, где lannet принадлежит wannet.
В этом маршруте включите Proxy ARP.
Для этой конфигурации, шлюзом клиентов будет lan_ip.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это понятно, так и делаю.


А вот это - нет. Можно чуть подробнее, где именно это нужно прописать?

Схема работы понятна, она должна быть такой:


Но вот как эту схему расписать в настройках DFL-1660... Который день пытаюсь, не выходит каменный цветок
Может есть кто опытный в настройках подобного оборудования, кому не жаль 15-20 минут времени на более-менее подробный ответ.
Конкретно - правильные записи в правилах и в ARP.
Суппорт длинка, к сожалению, молчит

Я не люблю двойной адресации внутри сети и обычно делаю просто "проброс портов" (SAT, NAT).
IMHO, так
1) понятней,
2) можно сделать почти на любом маршрутизаторе (не только на DFL),
3) легко перевести внешний сервис на другой сервер,
4) можно организовать, пусть не очень совершенное, резервирование для внешних сервисов на случай
отказа одного из каналов (две записи A для одного имени или динамический DNS).
Но danivovav очень опытный специалист, и если он советует так не делать, очевидно, есть тому причины.

Много адресов - много путанницы.
Неоднократно поднималась тема "белая подсеть в LAN", так что буду не первым.
Допустим, мы выделяем подсеть 195.112.255.32/27 (адреса с 33 по 62)

Objects > Address book > InterfaceAddresses
Проверьте адреса
wan1_ip = 195.112.255.2
wan1_gw = 195.112.255.1
wan1_net = 195.112.255.0/25
wan2_ip = 194.186.88.222
wan2_gw = 194.186.88.221
wan2_net = 194.186.88.220/30
lan_ip = 192.168.10.1
lan_net = 192.168.10.0/24
Добавьте
lan_add_ip = 195.112.255.33
lan_add_net = 195.112.255.32/27
wans_ip = wan1_ip + wan2_ip + lan_add_ip

Interfaces > ARP
Добавьте ARP publish адреса lan_add_ip на интерфейсе lan

Interfaces > Intreface groups
wans = wan1 + wan2

Intrefaces > Ethernet > wan1
Снимите галку Augomatically add default route if GW is specified

Routing > Routing tables > main
У вас должны остаться маршруты
wan1/wan1_net/100
wan2/wan2_net/100
lan/lan_net/100
wan2/all-nets/wan2_gw/100
Добавляем маршруты
wan1/all-nets/wan1_gw/99, на вкладке Monitoring включаем Host monitoring + ICMP, на вкладке Monitored hosts добавляем DNS адреса провайдера или гугла
core/lan_add_ip/0 - дополнительный IP
lan/lan_add_net/90, на вкладке Proxy ARP включаем интерфейс wan1

Routing > Routing tables
Добавляем таблицу alt_wan1
Добавляем в нее маршруты
wan1/wan1_net/100
wan1/all-nets/wan1_gw/100
То же самое делаем для wan2

Routing > Routing rules
Добавляем правила
wan1/all-nets any/all-nets, forward main, return alt_wan1
wan2/all-nets any/all-nets, forward main, return alt_wan2

Rules > IP rules
allow wans/all-nets core/wans_ip ping-inbound

Rules > IP rules > lan_to_wan
drop lan/lannet wans/all-nets smb-all - стандартно дропаем Samba
# правила для белого диапазона через wan1
allow lan/lan_add_net wan1/all-nets all_services
allow wan1/all-nets lan/lan_add_net all_services - тут вы можете включить необходимые ограничения, если это надо
# NAT правила - на оба интерфейса для всех
NAT lan/all-nets wans/all-nets ping-outbound
NAT lan/all-nets wans/all-nets ftp-passthru
NAT lan/all-nets wans/all-nets all_services

Это минимальная конфигурация, тут не затронуты DNS relay, DHCP и прочее.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

РАБОТАЕТ!
Пишу это сообщение с ноутбука с белым адресом, который в Интернет выходит через DFL.
danilovav, я безмерно благодарен за вашу помощь! За подробное объяснение и описание настроек! Вы действительно очень нам помогли.
Я не учитывал многих моментов, которые стали понятны только теперь, после подробного разбора предложенного вами конфига.

Теперь же все работает. Схема, получается, рабочая только для половины адресов из обозначенного пула? Хотя это уже не особая проблема, можно вторую половину же подробить на более мелкие подсети и их таким же образом добавить в конфиг, что позволит клиентам выдать практически все адреса из /26-й сети.

Еще в вашем конфиге вот тут:

не указано, какой параметр service использовать. Я выставил all_services.

Сейчас вся эта схема у меня собрана на стендовом оборудовании с другими адресами и сетями. Когда соберу рабочий вариант, наделаю кучу скриншотов и выложу сюда, авось кому из таких же как я неопытных пригодится подробный мануал

danilovav, еще раз благодарю за помощь!