Доброго времени суток!

Описание ситуации:

1. Установлена фирмварь 3.15, марка устройства DI-604 H/W F4
2. Настроен WAN-адрес (далее WAN-IP)
3. Настроен LAN-адрес (далее LAN-IP)
4. Создан виртуальный сервер:
WAN-IP,25 -> MAILSERVER-IP,25
MAILSERVER-IP находится в интранете, в частной сети 10.0.0.0/24
5. На сервере MAILSERVER-IP, на который переотправляются пакеты, брандмауэр впускает все пакеты, адресованные MAILSERVER-IP
6. Путь MAILSERVER-IP -> DI-604 существует

Проблема:

команда

telnet WAN-IP 25

отваливается по тайм-ауту.

Если прописать путь к WAN-IP внутри интранета

route add -host WAN-IP gw LAN-IP

то

telnet WAN-IP 25

работает.

Кто может подсказать способ починить такую ситуацию? Почтовый сервер - FC5. Если нужны дополнительные данные, дайте знать.

Спасибо!

Не понимаю. В чем тогда проблема?

Об этом я хотел спросить у тех.поддержки - у вас, например. Или данных недостаточно - скажите, что ещё я должен сообщить, чтобы прояснить ситуацию.

Основной вопрос: DI-604 делает NAT?
Если да, то почему ядро сообщает о "martians" (пакеты с невозможными для данного интерфейса адресами)?

Пкеты, проходящие извне во внутрь не натятся. Они поступают в подсеть LAN с реальным адресом отправителя.

Тогда понятно, откуда "марсиане" и понятно, что толку от такого маршрутизатора в этом смысле немного, так скажем.

Есть ли возможность какими-либо другими способами заставить работать шлюз, как ожидается в данной ситуации, или нужно искать другой маршрутизатор?

А как ожидается? Что он будут натить в обе стороны? Этого сделать нельзя.
А чем не устраивает действующий вариант?

Не устраивает потому, что не работает. Я описал ситуацию, но дельного ответа или вопроса, который бы помог понять, что не так настроено, не увидел.

Нам не нужно в обе стороны, нужен DNAT. Потому что сейчас в сетке появляются пакеты с внешними И целевым, И исходным адресами - и их не пропускают (martians).

Судя по тому, что я наблюдаю, DNAT DI-604 не делает?

Просьба к тем, у кого описанный в самом начале сценарий работает - просветите меня насчёт настроек сервера, НА который передаётся внешний трафик.

Делает на пакеты, идущие извне и попадающие под правила виртуальных серверов.
Чтобы пакеты шли обратно к клиентам Вам на сервере нужно прописать обратный маршрут. В идеале Di-604 должен быть роутером по-умолчанию.

Обратный маршрут для каждого исходного IP?

Задача была в том, чтобы сделать дополнительную точку входа к некоторым сервисам интранета НЕ на основном маршрутизаторе (который физически находится в другом месте). Похоже, что проблема простого решения не имеет - я не могу указать DI-604 маршрутизатором по умолчанию.

Всё, вроде бы нашёл решение - спасибо всем за то, что навели на нужные мысли - и тех.поддержке за потраченное время!