Пытаюсь опубликовать дополнительные IP на wan1 интерфейсе.
Все вроде делаю по FAQ, но не работает. куда копать?

+1

+1

Если вы делаете так http://www.dlink.ru/technical/faq_firewall_34.php, то данная схема точно работает, опишите как вы делаете и что хотите получить.

Разобрался, не туда public_ip положил, надо было в адреса интерфейсов.
Теперь новая проблема.
Создаю правило
source network: my_ip
source interface: lan
destination network: all-nets
destination interface: wan1
Action: NAT
Service: all_tcpudpicmp

На вкладке NAT указываю public_ip, который опубликован на wan1 интерфейсе.
В итоге с компьютера my_ip в интернет не попасть. пинги не ходят, страницы не открываются.
Если на вкладке NAT поставить use interface address - все прекрасно.
куда копать?

Так.. а публикация IP опять слетела.
С него идет проброс портов на хосты внутри сети, не отзывается ничего

Еще раз тщательно проверьте конфигурацию, проблем с функционирования данной схемы не замечено.

А внутренний IP на который мы пробрасываем порты с опубликованного - обязательно должен лежать в InterfaceAddresses?

Скажем так, DFL должен "знать" подсеть в котором расположен компьютер на который открываются порты.

Хотя это все равно не помогло.

Собственно, объясняю зачем все это надо.
Есть домен domain.ru, зарегенный на 212.***.***.146.
1. с этого IP нужен проброс на почтовый сервер в lannet.
2. соединия с почтового сервера должны уходить наружу с этим IP, иначе проверку по PTR не пройти.

Расписываю пошагово действия.

Создаю в InterfaceAddresses public_ip1=212.***.***.146 и Mailserv=192.168.***.8
В Interfaces\ARP создаю Publish wan1 public_ip1 00-00-00-00-00-00
для реализации пункта 1.
Mail_smtp_SAT SAT any all-nets any public_ip1 smtp_in. На вкладке SAT - new IP address - Mailserv и галка All-to-one mapping
Mail_smtp_allow Allow any all-nets any public_ip1 smtp_in

для пункта 2.
mailserv_allow NAT lan Mailserv any all-nets all_tcpudpicmp, на вкладке NAT - Specify Sender Address: public_ip1

Галочку в правиле SAT снимите. Так же убедитесь чтоб созданное вами правило NAT для сервера находилось выше других которые разрешаю выход lan сети в интернет.

А в FAQ было наоборот галочку поставить...

Ладно, попробуем разобраться сначала с NAT.
Правило в самом верху. С Mailserv наружу не ходит ничего.
При попытке пинговать яндекс с него на DFL вот такое вот...
2008-02-13
12:55:29 Info CONN
600002 TestNAT_publish ICMP lan
wan1 192.168.0.8
213.180.204.8
conn_close
close
conn=close connsrcid=11191 conndestid=11191 connnewsrcip=212.176.201.146 connnewsrcid=35769 connnewdestip=213.180.204.8 connnewdestid=35769 origsent=168 termsent=0
2008-02-13
12:55:20 Info CONN
600001 TestNAT_publish ICMP lan
wan1 192.168.0.8
213.180.204.8
conn_open
conn=open connsrcid=11191 conndestid=11191 connnewsrcip=212.176.201.146 connnewsrcid=35769 connnewdestip=213.180.204.8 connnewdestid=35769

Если в правиле NAT поставить использовать адрес интерфейса - все нормально. Собственно, весь lannet так и работает...

Тогда другой вопрос, ваш public_IP попадает в wannet по маске? Приведите полностью ваш опубликованный IP ваш стандартный wan_IP, вашу маску и шлюз, если не хотите раскрывать данные публично воспользуйтесь личкой.