Приветствую!

Бьюсь уже неделю не могу решить нестандартную задачку.
Есть сеть состоящая из нескольких сегментов 192.168.105.0/24 192.168.106.0/24 и 192.168.107.0/24
Все эти сегменты висят на разных портах DFL.
Есть firewall WachGuart которым заведуют безопасники, на нем есть подсеть 192.168.100.0/24
Задача:
Настроить DFL2500 как маршрутизатор безовяких NAT'ов таким образом чтобы в подсетях DFL выступал шлюзом, а все запросы которые идут в интернет кидались на 192.168.100.1 (WachGuard)

Настроил правило:
Allow
lan1(192.168.105.0)___________________wan1(192.168.100.0)
lan1net_____________________________ all-nets
На интерфейсе wan прописан Gateway 192.168.100.1(Wachguard)
Пакеты до wachGuard долетают, НО! он ругается что: cannot find reverse mac, spoofing, drop paket
Поймал безопасника, отключили с ним на wachguarde конроль spoofing атак. Начал ругаться: no arp entry, drop
Что он от меня хочет понять не могу
Если вместо Allow поставить NAT то все начинает работать. Но такой вариант не устраивает, так как нужно чтобы wachguard видел реальные ip юзеров.

Может у кого есть идеи???

Видимо wachGuard пытается проверить IP-MAC, а DFL это не позволяет, попробуйте разрешить любой тип трафика от wachGuard, до ваших сетей.

Пробовал, разрешать all_servise к моим подсетям - что дохлому коту витамины

Разрешилось установкой галки - Interfaces - Ethetnet- wan1 - Enable tranparent Mode
так же поставил на lan - все заработало

Всем спасибо!