Добрый день.
Наигрался с DFL-800, крайне доволен, пришла пора внедрять его в рабочую конфигурацию сети.
Хотел бы посоветоваться по некоторым нюансам.

Локальные адреса внутри сети - 192.168.0.0/24
IP адрес для витой пары - 82.*.*.118
IP адрес шлюза у провайдера для витой пары - 82.*.*.117
IP адрес для ADSL модема - 213.*.*.202 (сам модем настроен как 10.0.0.1)

Планируемая топология сети: 1 витая пара от провайдера и 1 ADSL модем, работающий как роутер с зашитыми данными PPPoE подключаются в порты WAN1 и WAN2 в DFL-800, из LAN один провод заходит в сетевую карту ISA сервера, дальше ISA раздает все внутри сети.
Пользователи ходят наружу, правила доступа исходящего трафика настроены на ISA, входящий трафик (PPTP, SMTP, OWA, Radmin, RDP) я проброшу портмаппингом на ISA. Маршрутами настрою резервирование канала.
Основной вопрос заключается в следующем - как мне настроить интерфейс WAN1, куда заходит витая пара от провайдера. Реальный IP выдан один, следовательно, придется прописывать его на интерфейс WAN1? Затем создавать дополнительно запись wan1_gw с адресом порта у провайдера, после чего убирать реальный IP с сетевой карты ISA, прописывать туда и на интерфейс lan адреса из подсети, не совпадающей с локальными, шлюзом на ISA прописывать адрес интерфейса lan? т.е., параметры адресной книги на DFL-800 будут такими:
lan_ip - 192.168.1.254
lannet - 192.168.1.0/24
адрес внешней сетевой карты на ISA - 192.168.1.2
wan1_ip - 82.*.*.118
wan1_gw - 82.*.*.117
wan1net - 82.*.*.0/48
wan2_ip - 10.0.0.254
wan2_gw - 10.0.0.1
wan2net - 10.0.0.0/24
адрес внутренней сетевой карты на ISA останется неизменным - 192.168.0.121 - как и все локальные адреса внутри сети.
Все должно быть примерно так или я заблуждаюсь? Прошу прощения за сумбурное описание, отвечу на любые вопросы.
Спасибо за участие.

Примерно так, только маски /48 не существует, пересчитайте корректно маску.

Сделал все как описывалось. Столкнулся с проблемой, пытаюсь решить.
Исходящий трафик идет на ура, т.к. все исходящие правила настроены на ISA, а на DFL только проброс исходящих пакетов и резервирование. С входящими пакетами беда - ни PPTP, ни SMTP, ни остальной входящий трафик корректно не идет. На ISA правила остались прежними, на DFL настраивал парами - SAT+Allow правило. В логах есть подключения, но тех же VPN сессий на ISA не наблюдается.
В логах появляются такие записи:
________________________
2008-05-12
14:43:27 Info CONN
600001 Allow_PPTP_in_wan1 TCP WAN1
WAN1 91.193.77.42
217.24.173.118 60214
1723 conn_open

satdestrule=SAT_PPTP_in_wan1 conn=open
_______________________
и такие
________________________
2008-05-12
14:43:30 Info CONN
600002 Allow_PPTP_in_wan1 TCP WAN1
lan 193.138.84.250
217.24.173.118 3272
1723 conn_close
close
conn=close origsent=144 termsent=0
_______________________
Соответствующие записи появляются и для остальных опубликованных протоколов. Подскажите, в какую сторону копать - в сторону DFL или таки продолжать ковыряться с ISA?

Как точно настроен SAT? У меня (DFL-800 2.12.00) для каждого протокола свое sat-правило с указанием как destination IP адреса сервера, а потом (внизу) правило allow, с protocol group. Соответственно, естественно, что в правилах interface/network source wan1/all-nets, dest core/wan1-ip.

А вообще, не вижу смысла в ISA перед DFL-800, если не надо чего-то экстраординарного - логгирования аськи (есть примочки), анализа страниц или какой-то хитрой блокировки контента. Все базовые, если не сказать расширенные функции есть в DFL! Ну разве что кроме клиента ISы на все машины или интеграции с доменом.

В свое время построив сеть с 50+ компов больше проблем не имел, особенно когда написал прогу для статистики. Расширенный анализ/блокировка/кеш могут влегкую выполняться прозрачно подрубленным сквидом, любой анализ можно настроить зеркалированием портов на свитче и морем утилит. Ну, хотя, наверное каждому свое.

Забыл (added): правила wan-to-lan (sat) должны быть выше чем lan-to-wan (nat). Уж не знаю почему, но так работает.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

уточните следующий момент, вы говорили что на lan у вас 192.168.1.0/24 тогда почему у вас в логах адрес не из сети lan 193.138.84.250 ? такая конфигурация не должна работать, для проброса портов вы можете воспользоваться следующей инструкцией http://www.dlink.ru/technical/faq_firewall_33.php, настроить failover можете по этой инструкции http://ftp.dlink.ru/pub/FireWall/_rus_% ... outing.pdf

Можете поделится программой с пользователями?

Сергей, могу. Если предложите как получать список запрошенных DNS с девайса А то первое направление ее - подсчет трафа с KWF, там это я реализовал. А только с DFL так и не нашел как...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Подскажу, задействуйте http ALG, и включите логирование этого правила, если на DFL в System -> DNS указаны DNS сервера, то вы увидите запрошенные пользователями URL.

danilovav, так и сделал, для каждого протокола свое SAT правило, с указанием как destination адреса сервера и ниже Allow правило.

Sergey Vasiliev, 193.138.84.250 это адрес внешнего клиента, который подключался на адрес 217.24.173.118.
Все остальное я делал в точности по первой инструкции.

Механизм сейчас таков:
На DFL (217.24.173.118) приходит пакет, SAT правилом он пробрасывается на внешний сетевой интерфейс ISA сервера (192.168.1.121), а дальше уже работают правила портмаппинга на ISAи пробрасывают пакеты в реальную локальную сеть (192.168.0.0/24).

В вашем случае, DFL ничего незнает о сети 192.168.0.0/24, заставьте ISA натить и проблем быть не должно, или пропишите на DFL маршрут к вашей подсети, и опять не забывайте про правила.

Решение приблизительно понял, а механизм решения, к сожалению, не очень
Попробую прописать маршрут на DFL в подсеть 192.168.0.0/24. Шлюзом, соответственно, должен быть адрес внешнего сетевого интерфейса на ISA (192.168.1.121), маршрут должен быть в созданную на DFL подсеть 192.168.0.0./24, но что тогда использовать в качестве интерфейса в правиле?

Интерфейс должен быть тот к которому подключена ISA.

Все сат+аллоу правила в одну папку и эту папку в голову корня.
А со мной програмулькой можете поделится???

Поделитесь и со мной программой. Заранее спасибо!
Е-Адрес: mike_web закарючка mail точка ру.