Есть локалка районная, адреса в ней приватные (10.11.x.x). Доступ в инет осуществляется путем поднятия VPN соединения. Соответственно если настроить NAT на локальный адрес - не будет инета, а если на VPN - отваливается локалка. С помощью какого оборудования d-link можно одновременно настроить NAT на два интерфейса?

Что за VPN?

PPTP, MS CHAP

DI-524/524UP/604/604UP/624S/704P/804HV/824VUP+.

http://www.dlink.ru/pressrelease/2007/2007_08_24.php

Спасибо! буду нацеливатся на 804ый... Жаль конечно что в LB604 не ввели эту фичу ;-(

Засада! У него DMZ и Virtual Server настраивается только последний байт IP ;-((

А Вам куда надо, в другую подсеть?

Да, у меня например внутренняя адресация 192.168.61.xx - так исторически сложилось, менять хлопотно...

Что-то я Вашу логику не пойму. Почему из того, что у Вас в LAN будет стоять любимая Вами 192.168.61.xx, следует, что Вам надо ставить DMZ и Virtual Server в другую подсеть ?!!
По определению работы NAT, он "транслирует" адреса между LAN и WAN и при обращениях на порты WAN из-вне направляет пакеты во внутреннюю сеть LAN ТОЛЬКО на те IP, на которые настроены Virtual Server (для соответствующего порта) или DMZ (для любого порта).
У Вас на LAN настроена Ваша любимая внутренняя подсеть 192.168.61.xx, на один из компов в которой Вы хотите "направить" запросы из-вне. Так ПОЧЕМУ Вас при этом смущает, что "У него DMZ и Virtual Server настраивается только последний байт IP" ??!!! Естественно только один байт адреса в LAN, а как же иначе при маске 255.255.255.0 (более широкую маску на LAN эти модели по-моему не позволяют)? Или "так исторически сложилось", что Ваша внутренняя (LAN) сеть шире класса "C" ?

Сорри, я Вас правильно понял, что в случае если я задам подсеть как 192.168.61.0 mask 255.255.255.0 то мне предложат выставить DMZ для 192.168.61.x?

Вероятно, я был сбит с толку виндой, к которой NAT жестко привязан к 192.168.1.1


Еще вопрос. Как ограничить обращение к DMZ только для определенных подсетей? Это возможно в принципе и конкретно для этого устройства?

На данном устройстве врядли вы сможете нормально это ограничить. При прописывании DMZ, роутер "открывает" firewall, а правила firewall для DMZ или virtual server удалить нельзя. Если хотите гибко конфигурируемый firewall тогда обратите внимание на DFL-210 http://www.dlink.ru/products/prodview.p ... =18&id=619

А его нет в списке поддерживающих DUAL ACCEESS ;-(

Это устройство совсем другого класса и DualAccess в нем есть.

Подскажите пожалуйста, поможет ли мне прошивка с
DualAccess в DI-624S в такой ситуации :

Провайдер раздаёт канал по обычному ethernet, без туннелей и т.д.
Собственно и-нетский адрес - "белый",
а на внутрисетевые ресурсы выдает дополнительный адрес
из сети 10.0.0.0 со своим шлюзом в эту сетку из этой "серой" сети,
скажем 10.0.0.1.
Адреса статические.

Т.е нужно прописывать два адреса на wan интерфейсе.

Буду очень благодарен за ответ.

Нет, роутер такое не позволяет.

DFL210 такое позволяет - но он и стоит 8000 рублей.