Прошу помочь с настройкой dfl 800.

Ситуация такая:
Имеется
соединение в интернет
Интерфейс wan1
с адресом pub_1 88.195.95.186


Шлюз wan_gw 88.195.95.186
Сетка wan1_net 88.195.95.184/29

Пусть добавляем дополнительный IP pub_2 88.195.95.187
Прописываем его в ARP как public

внутренний сервер 192.168.134.2

Через два правила SAT проброшены сервисы 88.195.95.186 к 192.168.134.2. Доступ полный и из инета и из внутренней сетки при обращении к 88.195.95.186. Все работает.

НО!
Если меняю в правилах Destination NetWork c pub_1 на pub_2.
Ничего не работает...

Где рыть?

Попробуйте destination interface поставить в any.
А вообще рад буду правильному ответу

Дык вот и в факе стоит dest-if: any.
То есть с core и не должно работать, хотя в случае с обычным wan_ip ставится именно core?

В данном случае дополнительный IP прикручивается именно к интерфейсу а не к core, попробуйте такое правило wan - all-nets -> wan - public_ip

Да, работает. Никогда бы не подумал.
Спасибо.

Почему в http://www.dlink.ru/technical/faq_firewall_33.php используется "core", а в http://www.dlink.ru/technical/faq_firewall_34.php "any" ?

Сегодня волшебным образом все вдруг заработало. )) Вчера, когда выставлял ANY и дополнительный внешний айпишник - сервер (VPN) был виден, но зависал на принятии пароля и говорил что сервер не может быть обслужен, а при CORE и айпишнике равном айпи wan-интерфейса все работало.

Сейчас:
Name Action SourceInterface SourceNetwork DestinationInterface DestinationNetwork Service
1 SAT_POLIGON SAT any all-nets any wan2_ip2 pptp-suite
10 NAT_users NAT lan NewLan wan_internet all-nets pptp-suite
11 NAT_POLIGON NAT any all-nets any wan2_ip2 pptp-suite

У WAN2 - адрес wan2_ip1
wan2_ip2 - добавлен к WAN2 в ARP

И все работает...
Но почему эта же конфигурация не работала вчера???! ))

Может причина в том, что я пытался зайти на сервер wan2_ip2 используя это же (wan2_ip1) соединение с интернет?
Такая трабла описана в мануале - но согласно этому же мануалу я и так разместил правило доступа в интернет между двумя правилами проброса порта. Т.е. в данном случае правило 10 между правилами 1 и 11.

Может файрвол что-то обновляет в своих таблицах не сразу?

В моем случае это применить к 1 или к 11 правилу?

К обоим

Хм... на практике такой вариант не сработал. По крайней мере при доступе к внешнему айпишнику используя это же соединение в интернет.


А работает пока так...
Name Action SourceInterface SourceNetwork DestinationInterface DestinationNetwork Service
1 SAT_POLIGON SAT any all-nets any wan2_ip2 pptp-suite
10 NAT_users NAT lan NewLan wan_internet all-nets pptp-suite
11 NAT_POLIGON NAT any all-nets any wan2_ip2 pptp-suite

Хотя склоняюсь, что правило 10 мне вообще не нужно, если я не хочу иметь PPTP доступ к действительно чужим внешним серверам. А к своему по адресу wan2_ip2 мне доступ обеспечит и 11 правило... даже при отключенном интернете наверное. ...

В смысле вы изнутри с локалки заходите на него? Тогда при этом конечно это правило не работает.
А из внешней сети вариант
1 SAT_POLIGON SAT wan all-nets wan wan2_ip2 pptp-suite
11 NAT_POLIGON NAT wan all-nets wan wan2_ip2 pptp-suite
должен работать, у меня на 800 работает.
Правда у меня не pptp, но я думаю что в данном случае все равно.

10 NAT_users NAT lan NewLan wan_internet all-nets pptp-suite
а это просто разрешает доступ в интернет из локалки, как я понимаю, причем через pptp. Тогда да, если к чужим по pptp ходить не надо, то оно не нужно.

Спасибо.

Поставьте эти правила сразу друг за другом. Между ними правил не ставьте.

SAT_POLIGON SAT wan all-nets wan wan2_ip2 pptp-suite
NAT_POLIGON NAT wan all-nets wan wan2_ip2 pptp-suite

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...