С удивлением обнаружив, что все lan интерфейсы у сабжа - по сути дела свитч, пришлось искать способ как на интерфейсе настроить 2 ip адреса для разных сетей... прочитал инструкцию:
Для примера взял DMZ интерфейс.
1. Создал дополнительную ARP запись для него с указанием нового IP;
2. Нужно включить proxyARP. полез в таблицы роутинга - дефолтовые менять нельзя => создал свой маршрут для этого интерфейса, добавил интерфейс в selected для ProxyARP;
3. Создал правило для пинга.
Итог - не пингует.
В логах: invalid_arp_sender_ip_address - drop появлялся... mac шлюза на тестовом компе в кеше не менялся... подкрутил advansed ARP - мак в кеше стал меняться, но пинги по прежнему не идут...

Подскажите, где косячу?
Заранее спасиб.

А правила для IP прописали?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

а вы на одном физическом интерфейса создаёте 2 IP адреса, принадлежашей одной подсети?

А правила для IP прописали?
Да, конечно.
а вы на одном физическом интерфейса создаёте 2 IP адреса, принадлежашей одной подсети?
Нет, ip принадлежат разным сетям.

В итоге ковыряния и поиска (viewtopic.php?t=66323&highlight=ARP+AND и http://209.85.129.132/search?q=cache:YA ... cd=3&gl=ru) добился, что ошибка invalid_arp_sender_ip_address - drop пропала, но пинг не появился.
Затем, как указано в первой ссылке, создал правило SAT (я, хоть убей, не понимаю зачем нужен тут сат, но раз говорят...без SAT тоже не работает) для пинга, и в правилах стало так:

#1 SAT_ping SAT DMZ 192.168.11.0/27 core 192.168.11.1 ping-inbound (в качестве destination ip на вкладке SAT поставил шлюз - 192.168.11.1)
#2 ping ALLOW DMZ 192.168.11.0/27 core 192.168.11.1 ping-inbound

#3 ping ALLOW DMZ 192.168.10.0/27 core 192.168.10.1 ping-inbound - это правило работает...

... пинг все равно не идет, в журнале он дропится как дефалтовое правило....


Формализую для удобства общения

DMZ интерфейс должен смотреть в две сетки
1. 192.168.11.0/27 (GW1 192.168.11.1) и
2. 192.168.10.0/27 (GW2 192.168.10.1).

Непосредственно в настройках DMZ интерфейса указана вторая сетка.

В ARP добавлен GW1 192.168.11.1 с MAC 00-00-00-00-00-00, метод публикации XPublish.

В маршрутах добавлена запись: интерфейс DMZ - сетка 192.168.11.0/27, в ProxyARP выбран DMZ интерфейс, все остальное "по нулям"

Чую что уже близок к решению, но где собака порылась не пойму...

В принципе примерно на том же месте и завис
Скорее всего сказывается костность мышления моя ;(
Если вдруг получится брось или в личку или сюда примерно что делалось

up!

когда используете второй IP на интерфесе через Publish ARP - он как таковым "полноценным" втором IP не является. Всё что вы сможете с ним делать - использовать SAT правила, т.е допустим он вам нужен чтобы опубликовать внутренний RDP сервер, тогда кроме SAT_rdp правила на внутренний сервер, чтобы работал пинг, нужно SAT_ping правило НА этот же внутренний сервер(rdp), т.е на пинг тоже он должен отвечать. - А у вас sat_ping на сам интерфес DFL заворачивается.

Надеюсь доходчиво объяснил...

Воспользуйтесь поиском даная тему уже обсуждалась.

если вкраце то:
1.Прикрутить ip к интерфейсу через ARP (publish)
2.Прикрутить новую подсеть через маршрут на интерфейс с обубликованным IP

Пинговать обубликованый ip не сможете (разве что отправите ping на реальный IP)

правила между физическим интерфейсов и обубликованным на нем не работают.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.