при настройке сабжа имеем непонятное сообщение в логах и отсутствие ожидаемого результата Smile
коротко опишу что имеется и что надо получить.

Имеем:
внешняя сеть 10.0.40.0/23 (заведена на WAN1). настройки WAN1 с DHCP сервера прописаны верно (ip-10.0.41.200,DNS-10.0.1.20)
внутреннюю сеть (192.168.2.0/24) заводим на LAN2 с ip-192.168.2.1. во внутренней сети исключительно сервера. необходимо закрыть часть и открыть некоторые порты на других.

сделал:
прописал правила по аналогии с http://www.dlink.ru/technical/faq_firewall_34.php (только в качестве сервиса использовал не rdp, а собственную группу в которую включал необходимые сервисы и протоколы. для упращения будем считать что открывал порты для IIS сервера по http протоколу) плюс прописал правила для DNS relay по аналогии с http://www.dlink.ru/technical/faq_firewall_47.php (в качестве ip DNS сервера устанавливал InterfaceAddresses/wan1_dns1 - как я понимаю на него прописался реальный ip с DHCP сервера)

результат:
при попытке подключиться из внешней сети (например с компьютера с ip-10.0.41.100) в логах видим что конекшин открыт с портом 80 на внутреннем сервере, а следом получаем сообщение:
Warning RULE 06000040 UnknownVLANTags lan2 unknown_vlandid drop
и ка результат ничего на клиенте не открывается (веб страница например)

как сие победить незнаю. какие будут рекомендации?
P.S. прошивка на сабже от 2006 года

Всегда прошивайте последнюю прошивку. На сегодня 2.20.03.

Ругань у вас идет на VLAN, о которых Вы не слова не сказали, а они, видимо, у вас используются. И их надо настраивать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

обновить прошивку конечно можно, правдо не могу понять отличий от предыдущей, но сделаю т.к. сие решает обычно много проблем. правдо при тестировании описанной трудности не возникало.

VLAN я не настраивал. вроде мапинг должен решить мои задачи или я не прав? ведь я использую сеть внутри компании, и устанавливаю длин для скрытия серверов от пользователей с "шаловливыми ручками" и "раздутым самомнением"

У вас предупреждение указывает на наличие VLAN в сети. Может быть просто на компах пользователей. Если VLANов нет, можете, насколько получится, игнорировать.

Хоть что-то у вас работает?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

как обнаружить у кого этот VLAN?
в том-то вся и проблемма что ничего не отрабатывает. даже если просто сделать доступ по http протоколу на сервер из внешней сети. пинги настраиваются и работают (правила делал по аналогии как и для нормальной работы)

вот кусок лога побольше:


тут я с 10.0.41.131 пытался открыть веб страничку на внутреннем сервере с публичным ip-10.0.40.21. как видим конекшен открыт, но после этого сыпится запись о UnknownVLANTags и на клиенте соответственно ничего не открывается.
кроме того вопрос - что за сообщение о TTLOnLowMulticast по UDP? я пытался открыть протокол udp но данное сообщение всеравно иногда сыпалось? это у меня из внутренней сети идет запрос или из внешней кто-то разбрасывает?
какие будут рекомендации как всетаки победить длинк? вроде делаю простые вещи по описанию и документации.

В настройках системы указать следующее
TTL Мин: =1 (Минимальное время жизни IP, разрешенное для приема.)
Multicast TTL Min: =1 (Минимальное время IP multicast Time-To-Live, разрешенное для приема.)

по умолчанию там кажется стоит 3

а можно немного поконкретнее об этом параметре? зачем его уменьшать?

Затем чтобы он не дропал пакеты с ТТЛ меньшим чем указано в параметре "TTL Мин"

ясно. с этим вроде понятно. а вот как быть с ПЕРВИЧНОЙ проблемой? как решить?

Крутите сервер, можете заснифить что от него идет за трафик. Трафик не должен содержать тэги 802,1q или вам надо поднимать vlan на DFL, иногда такое бывает из-за сетевой карты, иногда помогает при этом обновление драйверов.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

а какой сервер? их у меня на LAN2 заведено более чем один и от кого сие прется не понятно.
можете привести пример настройки vlan под описанную исходную задачу? в вашем faq и доках (на английском) толком ничего про это не описано, да если честно доки весьма "мутные" там больше теории чем реального описания устройства и его программирования. иногда складывается впечатление что ее написали несколько лет назад и кидают ко всем устройствам даже не переводя на язык потребителя мы вроде в россии живем.

P.S. только не надо говорить про знание английского как необходимого языка для айтишника это просто смешно

так Течсуппорт ответит или нет?

А причем тут саппорт?
Разберитесь со своими вланами и будет счастье


У вас получается так - "Где бы коню пузо подрезать? А то подпруга кривая у меня..."

оппа... интересно получается если пользователь (не читаю faq или манул) задает вопрос или озвучивает проблемму из уже опубликованного то просто предоставляется ссылка на решение, а как возникает проблемма которая не описана, то начинается "тыркание" в faq и т.д.
сударь а не кажется ли вам что вы сами незнаю решения пытаетесь принизить всех остальных учасников форума дабы показать свою значимость и ламерство других. пока мне отвечали только Пользователи продукции компании Dlink а не сама компания, что я считаю не очень хорошо для самой компании (скидка на праздники не учитывается т.к. компания не является русской да и по своей компании сужу (сам нахожусь в подобной службе))

так что Ваша цитата относится скорее к вам нежеле к другим. а вот админу форума стоит отнестись намного серьезнее к подобным высказываниям я конечно понимаю НГ на носу, но всетаки проблемма актуальна и ее корни пока не показывают где искать решение.
Продукция Dlink меня лично привлекает своей бюджетностью да и доступностью в многих странах мира, но ее суппорт не фонтан - это норма практически для всех, но надо стремиться к более высоким меркам если брать в аналоги cisco то там другая ситуевина - с железом нифига не разобраться, зато с суппортом все проще

так что вопрос остается актуален. как решить изначальную проблемму?

Вам кстати подсказали в какую сторону смотреть и как смотреть, а не послали. Так в чем проблема? За вас вашу ситуацию тут никто (в том числе и уважаемые Сергей, Александр и все остальные сотрудники) не сможет узнать. Проверяйте, пробуйте. А потом уже требуйте.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc