читал мануал, советовался с людми, вроде все правильно, но не работает.
на одном ВЛАН интерфейсе (vlan1) надо опубликовать 2-ой адрес, для работы со второй сетью извне(сам ВЛАН работает полностью):

Interfaces -> ARP
Add -> ARP
Mode: Publish
Interface: vlan1
IP address: x.x.x.x (выбираем адрес, который надо опубликовать из "objects")
MAC: указываем МАС адрес LAN интерфейса DFL'a, т.к. vlan1 идет непосредствено в LAN порт.

вопросы:
1. а вообще надо ли указывать МАК адрес или оставить по умолчанию (00-00-00-.....) ? и что изменится, если не укажу?
2. надо ли создавать дополнительно IPRule и/или Route для этого ARP'a, чтобы все работало?

Если дополнительный адрес находится в той же подсети что и ваш vlan, то маршруты прописывать не надо, если же ваш дополнительный IP находится в сети отличной от vlan, то надо. Так же не забывайте, что публикуемая вами подсеть не должна совпадать с уже существующими на других интерфейсах.

именно публикуемая?

существуют след. сети
а) 10.30.48.0/24
б) 10.1.2.0/28
в) 199.168.11.0/24

Сеть №1 - 10.30.48.0/24 входит в состав vlan2
Сеть №2 - 199.168.11.0/24 входит в состав vlan1
на интерфейсе сети №2 надо было опубликовать 10.1.2.0/28

т.к.
>публикуемая вами подсеть не должна совпадать с уже существующими на других интерфейсах

я поменял публикуемую сеть, с изначально определенной:
Сеть №1 - 10.30.48.0/24 входит в состав vlan2
Сеть №2 - 10.1.2.0/28 входит в состав vlan1
на интерфейсе сети №2 опубликовал 199.168.11.0/24

правильно?

Без публикации 199.168.11.0/24, на данный момент сети 10.30.48.0/24 и 10.1.2.0/28 разграничены и полностью функционируют без проблем: прописаны дополнительные маршруты и все. Никаких доп. таблиц маршрутизации и PBR - нет.

и вопрос по МАК адресу, остается открытым...

да правильно, публикуете IP из этой посдети по ARP на нужном вам vlan интерфейсе, а потом в роутах прикрепляете эту подсеть к этому же интерфейсу. С обычными интерфейсами работает. на Vlan не тестировалась, но теоретически работать тоже должно. Нет MAC вам менять не надо.

идем дальше...

доп.интерфейс опубликовал.

прописываю новый маршрут, для опубликованного ip адреса:

Routing -> Routing tables -> Main
Add -> Route

Interface: vlan1 (ведь на нем опубликован новый адрес)
Network: new_net (соответсвует 199.168.11.0/24 из адресной книги-подсеть опубликованного интерфейса)
Gateway: ??? (что нибудь указывать надо? или можно указать адрес самого интерфейса, который только что был опубликован?)
local IP: ??? (что нибудь указывать надо? или можно указать адрес самого интерфейса, который только что был опубликован?)
Metric: 90

Во вкладке ProxyARP из доступных интерфейсов выбираем vlan1 (или надо выбрать lan, ведь для ЛАН он будет выступать в качестве прокси АРПа, так?)

ARP proxy применять ненадо, шлюз и local IP тоже указывать не надо, если у это маршрута есть шлюз для выхода к другим подсетям, его надо указать отдельным роутом. Метрику надо оставить как на остальных интерфейсах.

на других, создаваемых по умолчанию? тогда получается, то надо ставить 100.

у меня всего лишь один маршрут с метрикой 90: это маршрут, который разделяет уже имеющиеся 2 интерфейса, т.к. по логике один, входит в другой:
Сеть №1 - 10.30.48.0/24 входит в состав vlan2
Сеть №2 - 10.1.2.0/28 входит в состав vlan1

маршрут с метрикой 90, пускает все пакеты если они идут на 10.120.255.0/28 через шлюз 10.1.2.1 (интерфейс 10.1.2.2 vlan1, Сеть №2)

+ко всем вышеуказанным действиям, я должен создать правило, разрешающее (полный - а потом, буду урезать) трафик:

Rules -> IPRules
Add -> Rule
Name: ИМЯ
Action: NAT
Serivce: all_tcpudpicmp

Source if: lan
Source net: lannet
Dest. if: vlan1 (на нем опубликован 199.168.11.0/24)
Dest.net: new_net (что соответсвует 199.168.11.0/24)




остальное все понял - попробую отпишу.

попробовал - не получилось.
все работает, кроме пингов (да и вообще пакетов) до опубликованной подсети 199.168.11.0/24
есть правило, которое разрешает пинг до core (любых адресов DFL'а) даже до самого него пинги не идут.

я хотел посмотреть кто обрубает, а для этого надо включить tracert

не подскажите, где-то на форуме был "самый большой пост" о том, как включить tracert

В разделе FAQ есть тем как настроить трассировку.

караул нам подсунули нерабочий ДФЛ

1. Трасерт настроил по ФАКу - не пашет.
2. Опубликовал новый адрес - не пашет.

Трасерт, это вторично. что делать с опубликованным адресом?

ну вот опять молчание.
мне куда копать-то?

Устройство позволяет настраивать алиасы, но только алиасы без шлюза.

я не совсем понимаю Вас.
что мне делать? попытаться настроить алиас?

Опубликованный Адрес работает, если он в подсети интерфейса на котором вы публикуете. Что именно у вас не получается с трассировкой? Разрешите достум службы ICMP к lan и wan ip, из всех сетей и любых интерфейсов, сделайте ttl min ignore

публикуемый адрес 199.168.11.1/24
адрес интерфейса, на котором публикуется вышеуказанный адрес 10.1.2.2/28
работать будет?
или надо поменять подсеть 10.1.2.2/28 на 10.1.2.2/8

трассировка:

значение "ignore" в поле TTL Min не подставляется. значит ли это, что надо поставить значение "0"?
по умолчанию и по инструкции в ФАКе - стояло "1"


доступ службе ICMP откыт правилом:

этого будет достаточно?