Честно прошерстил весь поиск по ключевым словам, но своей проблемы не нашел. Итак, ситуация такова:
DFL-800, два провайдера, две белых сетки на /30, белые IP прописаны на WAN1 и WAN2. Первый используется для рабочего трафика (SMTP, FTP, RDP и т.д), по второму офисный планктон имеет безлимитный http и господь с ними. Ну и Файловер настроен, чтобы избавить себя от "Что у нас с интернетом???". DMZ не использовалось вообще, даже интерфейс был отключён. Проблем никаких, DFL за три года один раз лишь завис (тьфу^3).
Но появилась тут потребность установить три сервера с реальными белыми IP. Причем никакой проброс портов тут не поможет, на серверах будут подняты свои web-сайты с официальной SSL-сертификацией и для нее привязка доменного имени к IP - обязательна. Провайдер, который прописан на WAN1, предоставил на том же канале новую сетку /29 и вот тут я уперся.
Если просто перед DFL ставлю обычный свитч и уже с него один шнурок в WAN1 и остальные напрямую на сервера с прописанными на них белыми IP - всё ОК. Если шнурок прова возвращаю в WAN1, а свитч запитываю от DMZ - глухо.
На DFL-е включил интерфейс DMZ, прописал ему dmz_ip/net/gw из нового пула IP, пробовал и transparense mode и без него. Роутер видит шлюз нормально. Снаружи из инета роутер на пинги на dmz_ip нормально отзывается. Но ни роутер не видит пингами серверы, ни они его (сервера друг друга - видят).
Оставлять сервера вообще в открытом инете очень не хочется, там Win2003 на них и по другому никак. Надо их как-то за файрволом спрятать и только определённые порты открыть. Пока же не получается с них даже в инет выйти.
IP-Rules-ы c allow с dmznet на wan1 и обратно прописал. Но что-то ещё не догоняю. Может кто натолкнёт, в какую сторону рыть? Заранее спасибо.

Вообще, должно решаться через transparent mode. Можно его копать по руководству.

как простой вариант, провайдер может рутить на вас какую-то белую подсетку /29. а вы ее настроите на DMZ сети - рутере и серверах, задействовав 4 адреса из 6-ти доступных.

И, вообще, не очень ясно почему не поможет простой проброс портов для SSL-сертификата. сервер имеет серый IP, на него проброшены порты с белого IP, IP соответствует DNS имя, которое и фигурирует в сертификате.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Именно так сейчас дело и обстоит: провайдер уже выделил мне сетку /29, она точно рабочая, я перед роутером серваки ставил и они прекрасно на этой сетке работали в инете. DMZ настроил, 4 адреса (один на роутер и три на серваки) задействовал, но через роутер - ни в какую. То ли я какие-то правила недописАл или кривописАл, то ли просто не могу сообразить...
Кстати, а если в Transparent настраивать, то вообще надо ли задавать dmz_ip, dmznet, dmz_gw ?
Там система на IBM Lotus завязана, сервера ещё и между собой взаимодействовать должны, и Domino Traveller до кучи... С серыми IP я с ума сойду всё это оживлять...

Тут вы не правы. вы должны оставить WAN1 и WAN2 как было, с сетками /30. А провайдер новую белую подсеть /29 рутит, например, на ваш WAN1. Эту белую подсеть вы и настраиваете на DMZ. 1 адрес на DFL, 3 - серверы, 2 - свободны. Это очень просто. И естественно.

В таком изложении вы меня поняли?

Тогда и правда, через белые проще. Где проще - там и надежнее.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Именно так всё и сделано. Но не работает.
Наверное надо более предметно, с конкретными почти реальными адресами. При этом WAN2 опустим, он не участвует.
Сетки первого провайдера:
"старая" сетка 111.ххх.ххх.110, шлюз ...109, маска ...252.
"новая" сетка 222.ххх.ххх.18-22, шлюз ...17, маска ...248.
Обе секти роутятся на одном шнурке, он воткнут в WAN1.
Настройки интерфейса WAN1: wan1_ip 111.xxx.xxx.110, wan1net 255.255.255.252, wan1_gw 111.xxx.xxx.109
Настройки LAN стандартные: lan1_ip 192.168.0.1, lannet 255.255.255.0. У клиентов везде шлюз 192.168.0.1, SAT/NAT, инет, сервисы, порт форвардинг - всё работает ОК.
Настройки DMZ: dmz_ip 222.xxx.xxx.18, dmznet 255.255.255.248, dmz_gw 222.xxx.xxx.17
Подняты интерфейсы WAN1 и DMZ, причем в DMZ включен Transparent.
Сервер подключен в порт DMZ роутера. Настройки сетевой карточки сервера 222.ххх.ххх.20 / 255.255.255.248 / 222.ххх.ххх.17.
Уф, умахался набивать
Итог, пинги с роутера на 222.ххх.ххх.17 проходят, пинги с Роутера на сервер и с сервера на роутер - нет. Пинги из инета (из дома) и на 111.ххх.ххх.110 и на 222.ххх.ххх.18 проходят, т.е. роутер виден по обоим сеткам.
Вопрос: что тут не так? Какие правила надо прописать, чтобы хотя бы роутер и сервер друг друга увидели

Исправьте wan1net = 111.xxx.xxx.108/30, dmznet = 222.xxx.xxx.16/29

Коли вы говорите о шлюзе (провайдера) 222.xxx.xxx.17, значит маршрутизацию провайдер вам не сделал
Тут два варианта
1) делать transparent mode по мануалу
2) из вашего диапазона 18-22 адресов потерять 18-19 на DFL и пустить только 20-22 на сервера - тут будет ARP proxy
Также, остается более правильный
3) убедить провайдера смаршрутизировать новую сеть 222.xxx.xxx.16/29 на старый адрес 111.xxx.xxx.110

Что выбираете?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Третий вариант оставил на крайний случай, т.к. предпочитаю зависить от себя, а не от сисадминов провайдера. Выбрал для начала 1-й вариант.
Установил DMZ-Интерфейс в Transparent.
Полез в мануал, в нем моего случая не было, там сервера в DMZ под серыми IP с пробросом портов рассматривались.
Начал ковыряться. Создал allow правила в и из dmz. Из инета сервак с белым IP, стоЯщий в dmz, стал виден на ура по всем проверенным портам, с сервака же только роутер пинговался.
Поменял наружу allow на NAT - не помогло.
Поменял на сервере шлюз провайдера на IP роутера - и БИНГО !!! Всё шуршит именно так, как и требовалось. Серваки видны по нужным портам из инета (остальные порты дропаются), видны друг другу, видят инет, видны мне из локалки.
Всем поучаствовавшим в поисках решения - респект.