Доброго времени суток всем. Есть DFL-210.
Требуется пробросить порты как наружу изнутри, так и изнутри наружу, номера 5000, 5060 и 30000-30127. Насколько я понимаю, если есть правило по умолчанию для НАТ, то изнутри наружу никаких новых правил придумывать не требуется.
Грабли начинаются с САТ. Делаю строго по доке все, 2 правила SAT и Allow.
Поскольку требуется открыть для разных хостов, получается 3 пары правил. А должно ли это работать?

Name Action SourceInterface SourceNetwork DestinationInterface DestinationNetwork Service
1 ats_prog_remote SAT any ats_prog_ip core wan_ip ats_prog
2 ats_prog_remote2 Allow any ats_prog_ip core wan_ip ats_prog
3 ats_sipnet1 SAT any sipnet_ip core wan_ip sipnet1
4 ats_sipnet1_allow Allow any sipnet_ip core wan_ip sipnet1
5 ats_sipnet2 SAT any sipnet_ip core wan_ip sipnet2
6 ats_sipnet2_allow Allow any sipnet_ip core wan_ip sipnet2

Первая пара правил обеспечивает соединение на 5000й порт, вторая - на 5060, третья - на 30000-30127. Первая пара правил срабатывает, а остальные - нет. В логах все чисто, соединение же висит только по первой паре правил.
Где ошибка?

Должно работать.

Только не надо забывать, что в сервисах правило создается для
Source: 0-65535
Destination: 5000 (или 5060, 30000-30127)

И во вкладке SAT надо подменять адрес на адрес компа во внутренней сети.

Все именно так и сделано, создано 3 службы, 3 пары правил, на вкладке САТ адрес заменен на внутренний ip. В логах никаких сообщений об отброшенных пакетах нет.
И тем не менее, последние 2 пары правил не срабатывают. Кто-нибудь сталкивался с подобным? Хотелось бы услышать мнение техподдержки...

А sipnet_ip - что за адрес? sipnet'овский какой-то? Там ведь входящие могут идти с разных серверов, а не с одного... Как проверяете то, что порт недоступен? Попробуйте выбрать all-nets для начала.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да, сипнетовский. Проброс портов требуется для АТС для бесплатных звонков в Москву и Питер.
Пробовал all-nets.
Все, чего мне удалось добиться - что появлялось соединение на порту UDP 5060 и через какое-то время отваливалось

Доступность портов проверял telnet'ом.

Кстати, вот только что попробовал позвонить с компа через sipnet.ru - звонок прошел без проблем. При этом у меня не настроено никаких портов для сипнета! В самой проге все по умолчанию. В DFL-210 только одно правило, разрешающее все исходящие через NAT. На вход ни одного правила!

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Sip часто соединяется по произвольному порту с диапазоном 5060-65535, попробуйте открыть этот диапазон.

столкнулся с подобной проблемой.. только у меня всего по одному порту надо проброс устроить из нета через DFL-800 на комп в локалке, создал сервис по мануалу с этого сайта, создал правила, во вкладке SAT поставил внутренний ip машины, галочку поставил тоже "All-to-One Mapping: rewrite all destination IPs to a single IP", а из нета подключиться не могу,

сервис RAdmin: RAdmin - TCP - 4899,
правила маппинга: 1) Allow1 - SAT - any - all-nets - core - wan1_ip - RAdmin
2) Allow2 - Allow - any - all-nets - core - wan1_ip - RAdmin

в правиле 1 перешел на вкладку SAT и выбрал: Destination IP Address, выбрал там ip внутренний, поставил галочку: "All-to-One Mapping: rewrite all destination IPs to a single IP",
нажал сейв и активейшен.

соединения нет, логов нет, куда копать неизвестно

Галочку ставить не надо.

не помогло(((

збыл добавить.. на ДФЛ-800 еще раелизован PPTP сервер для удаленных VPN клиентов.

спасибо техподдержке, помогли и поправили мою ошибку, коротко скажу в чем была она, если комп, на который вы собираетесь делать проброс портов уже получает инет через другой шлюз, прописанный в настройках сетевухи, то во втором правиле надо поставить вместо Allow - NAT.

Ну, дык у sipnet есть прокси. И в прогах он указан.
Здесь нет входящего соединения - оно исходящее и уже прогой установлено.
У меня так и аппаратный телефон работает.

Зачем получать входящие соединения - я не знаю.
Наверное, оборудование прокси не поддерживает.