Добрый день.
Есть DFL-800 с адресом 100.100.100.100 на WAN.
Есть железяка DVG-2016S, стоящая за DFL-800.
Задача - дать DVG-2016S белый адрес, чтоб она могла работать с железякой в другой сети.
Получили у провайдера адрес 200.200.200.200, смаршрутизированный на 100.100.100.100.
Прикручиваем его к DFL-800:
Публикуем в ARP
Publish
wan1
ip_200_200_200_200

Далее делаем правила:

SAT
all_services

Interface Source any
Interface Destination any
Network Source all-nets
Network Destination ip_200_200_200_200

Destination IP Address DVG-2016S (серый адрес)

Allow
all_services

Interface Source any
Interface Destination any
Network Source all-nets
Network Destination ip_200_200_200_200

Железяка DVG-2016S становится доступна по адресу 200.200.200.200, т.е. она доступна для управления извне, но если сама она инициирует трафик (icmp, например), то он приходит не с 200.200.200.200, а с 100.100.100.100.
Почему так происходит и как этого избежать?
Допускаю, что я что-то не так настроил на DFL.

Спасибо.

Простейщиее решение -- создать прозрачный режим между DMZ-WAN
и поместить туда DVG. С порт мапингом всё конечно хорошо, но нужно настраивать DVG таким образом, чтобы она _ВНУТРИ_ пакетов SIP отддавала не свой серый адрес WAN, а назначенный, т.е. который на интерфейсе DFL. Кстати маппинг настроен не правильно:
1. wan1/all-nets => wan1/wan_ip_add SAT
2. wan1/all-nets => wan1/wan_ip_add ALLOW

> Простейщиее решение -- создать прозрачный режим между DMZ-WAN

где почитать про это?

В мануале по слову Transparent Mode, там же есть сценарии настройки. Есть одно неудобство -- нужно иметь как минимум 3 сводобных адреса от пула провайдера.

сейчас закажу сетку /29 и попробую. спасибо

Станислав, я в мануале не нашел подобного сценария.
DFL-210_800_1600_2500_A1_Manual v1.02.pdf
С участием DMZ там только второй сценарий, который shows how a firewall in Transparent Mode can be used to
separate server resources from the internal network by attaching them to a
separate firewall interface without the need of different address ranges

это на 288 странице мануала.
может я не тот файл смотрю?

в Configuration Examples_Scenarios_Step-by-Step for NetDefend Firewalls v1.00.pdf тоже подобного нет

ftp://ftp.dlink.ru/pub/FireWall/DFL-800 ... _v1.05.pdf
страница 88

Если я правильно понял, надо использовать второй сценарий, один белый адрес опубликовать через ARP, второй адрес - интерфейс DMZ (он же шлюз девайса), а третий - сам девайс.

Расточительно по ресурсам. Сейчас попробую настраивать.
Спасибо.