сделал port mapping для rdp согласно FAQ, но в нём описывается схема маппинга на один комп, какие правила необходимо создать, для маппинга на несколько разных компов?
То есть, в зависимости на какой порт соединяешься с DFL, на такой IP порт маппинг.

1. Поставить в соответствие каждому новому номеру порта IP-адрес комп-ра во внутренней сети
2. Для каждого номера порта создать соответствующий сервис и прописать 2 известных правила для перенаправления портов. Не забыть в правиле SAT наряду с подменой IP-адреса заменить также порт на стандартный номер порта для rdp.

Внутренняя сеть делитсяна 2 подсети 192.168.0.0/24 и 192.168.5.0/24
DFL:
lan 192.168.5.105
wan 86.102.@@@.@@

RDP марринг пойдёт на тачки из 192.168.0.0/24.
Как заставить lan смотреть в 192.168.0.0/24 ?

Опишите подробнее схему сети.

Внутренняя сеть делится на 2 подсети 192.168.0.0/24 и 192.168.5.0/24
Стоит Proxy с двумя интерфейсами
ip: 192.168.0.100
mask: 255.255.255.0
и
ip: 192.168.5.106
mask: 255.255.255.0
gate: 192.168.5.105
dns: 192.168.5.105


DFL-210:
lan 192.168.5.105
wan 86.102.@@@.@@

DFL физически подключен к свичу DGS1224T, создано правило принимать запросы только от 192.168.5.106.

Рабочие станции находятся в 192.168.0.0/24, на всех прописан шлюз 192.168.0.100

Необходимо организовать RDP маппинг на тачки из 192.168.0.0/24, на прямую с dfl минуя proxy server.
Но проблема в том что dfl находится в другой подсети, и с него даже подсетку 192.168.0.0/24 нельзя пропинать.
До покупки DFL-210 работал Kerio WinRoute, там подобных проблем не возникает, а с DFL ещё не разобрался что где выставляется....
Как заставить lan смотреть в 192.168.0.0/24 ?

не совсем может красивое решение...
Но должно работать:
Подключите в вашу сеть ещё DMZ c DFL-210, и на DMZ пропишите эту подсеть.
Доступа в инет, через DMZ не давайте

Ну и правило "проброса" порта, перестройте на DMZ.

P.S. так же можно "пробросить" порт и на машине с прокси-сервером.
Тогда в настройках DFL указываете получателем пакетов ваш прокси, а прокси отсылает пакет уже дальше.

Схема с прокси сервером, выбрана для контроля объёмов трафика. В DFL биллинга нет.
Возможо, по поводу оганичения приёма запросов, не ясно выразился.
Вот правило:
lan to wan
Name: allow_standard
Action: NAT
Service: all_services
Src
Interface: lan
Network: 192.168.5.106
Dst
Interface: wan
Network: all-nets

Мне кажется вам проще поднять на DFL PPTP сервер согласно FAQ, т.к. у вас несколько подсетей, вам на компьютере придется прописать маршруты, но попал во внутреннею сеть можете заходить туда куда разрешите и по любым протоколам.

Правильно ли я понял, DFL не поддерживает назначение нескольких IP для физического интерфейса?

Поддерживает. Посмотрите в инструкции как публиковать дополнительный адрес через ARP, так же как "повесить" дополнительный IP на ван можно прочитать тут http://www.dlink.ru/technical/faq_firewall_34.php

Насколько я понял, сеть 192.168.5.0 нужна только для связи DFL и сервера учета расхода трафика. Тогда порты придется пробрасывать не толлько через DFL, но и через сервер в сеть 192.168.0.0. Это сделать можно, но схема получится 2-х уровневая, излишне сложная.

Я бы посоветовал следующее. Вся (одна) внутренняя сеть находится за DFL. В ней - сервер и рабочие станции. Для рабочих станций - шлюз по умолчанию сервер. Для сервера - DFL. DFL настроить так, чтобы пускал в интернет только сервер, а станции - нет.

Всю внутреннюю сеть перевёл в 192.168.0.0/24, в интернет пустил только прокси сервер, второй интерфейс прокси поставил шлюзом для стаций внутренней сети. Интернет работает, RDP на несколько машин тоже работает. Спасибо за советы.

Но появилась новая проблемма, со шлюзами, из-за которой не получается уйти от двухуровнего маппинга портов.
На всех машинах внутренней сети проставлен шлюз 192.168.0.100, для хождения в интернет через прокси.
Если входящий RDP со стороны wan через DFL идёт напрямую на рабочие станции, а не через прокси сервер, соединение не устанавливается.
Если на рабочих станциях поставить шлюзом внутренний адрес DFL 192.168.0.105 , соединение устанавливается без проблем.
Завёл RDP через прокси, но при данной схеме нужно делать двойной маппинг.
Как можно завести RDP на прямую с DFL на раб. стацию, и при этом оставить щлюзом на раб. станции внутренний адрес прокси сервера?

Используйте для пробороса портом Правила SAT и NAT, благодаря NAT правилу, можно dfl шлюзом не ставить.

Компьютер с двумя интерфейсами в одной и той же подсети может вызывать проблемы с разрешением имен. Советую оставить один интерфейс.

Использовать один интерфейс не получится, так как на прокси сервере не будет работать NAT.



Сделал всё как в инструкции, только применительно к LAN интерфейсу и в правиле allow_sat поставил Action:NAT, так же заменил Service: rdp на all_services
Но дополнительного IP интерфейса не появилось, нет пингов как с DFL самого себя, так и из сетки нового интерфейса DFL.
Что я делаю не так?