Требуется создать несколько адресов на внешнем интерфейсе.
Fw : 2.26.00.06-12652

Берем интерфейс wan1 - (у него есть свой ip адрес - 192.168.10.1) и пытаемся прикрутить в таблице ARP дополнительный IP:
192.16.10.100 (add arp Interface="wan1" IP="192.16.10.100")

На первом этапе не требуется пока его кому-то назначать. Нужно чтобы просто этот адрес отвечал на пинги.
В итоге: Адрес интерфейса отвечает на пинги, а вот адрес 192.16.10.100
Молчит как рыба.

Также не идут traceroute через сам DFL, вместо того чтобы показать как идет трафик, маршрут скрывается (показывает * ).

Трафик icmp и т.д. все разрешено на всех интерфейсах.

У кого-нибудь это работает ?

Дополнительный адрес сам не будет отвечать на пинги. Никак. Только если через него сделать проброс пингов на какой-либо отвечающий хост. Чтобы ходил tracert, надо сделать MinTTL=1 в Advanced settings.

P.S. Исправление из будущего (14.2.2018). Всё это можно сделать. IMHO, лучше по инструкции по этой ссылке
http://forum.dlink.ru/viewtopic.php?f=3&t=114002

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

MinTTL выставлен, но трасировка показывается только до ближайшего устройства подключенного к DFL, либо до своих интерфейсов. Если скажем за DFL еще несколько маршрутизаторов, то тогда, 1-й строкой почему-то идут * * *
PC1<-->DFL<--->Router<---->Router<---->Router
Вот как это происходит с PC1 (192.168.0.1)

1 * * * (DFL)
2 192.168.1.1 0 msec 0 msec 10 msec (router1)
3 192.168.2.1 0 msec 10 msec 0 msec (router2)
4 192.168.3.1 10 msec 0 msec 0 msec (router3)

А вот до ближайшего:
1 192.168.1.1 0 msec 0 msec 0 msec (router1)

Плохо, конечно, что если не назначен проброс, DFL молчит. Проверить маршрутизацию было бы намного проще.
Скажем, если правило не назначено, то DFL отвечал бы. Как назначили правило - значит уже отрабатывать в соответствии с правилом.

Думаю, что я все таки прав.

ARP должен работать и отвечать на пинги.

Т.е. если на интерфейсе прописать доп. IP, то они должны отвечать на запросы. Т.к. иногда нужно, чтобы был один интерфейс, и на нем несколько адресов. Некоторые устройства по пингу определяют жив ли шлюз.

Если не прописывать в таблицу ARP адреса, то трансляция и так работает нормально - проверил.

ARP - не работает. (на старых версиях работало)
Возможно, надо где-то изменить настройки - я не нашел.


-------из мануала --------
Published ARP Entries
NetDefendOS supports publishing ARP entries, meaning that you can define IP addresses (and optionally Ethernet addresses) for an interface.
NetDefendOS will then provide ARP replies for ARP requests related to those IP addresses.
This can serve two purposes:
• To give the impression that an interface in NetDefendOS has more than one IP address.
....

Эта тема уже не раз обсуждалась. Не будет он отвечать.

Хотя я лично согласен с вами. Нормальный доп IP адрес должен вести себя нормально и полноценно отвечать на пинг.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это потому что на устройстве, с которого шла проверка работоспособности трансляции, в кеше остался МАК доп.IP, либо прописана статически связка. В ином случае понадобится, чтобы кто-то ответил на ARP request, и это сделает DFL, если прописан ARP publish.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Что касается основного вопроса, то пинг на дополнительный IP работает! Но только в случае, если у доп. IP не прописан иной МАК, отличающийся от основного IP интерфейса. И используется Mode=Publish
Необходимо прописать следующие 2 правила, которые транслируют ICMP запросы на основной IP.

1) Правило SAT:


2) Правило Allow:

Таким образом, отвечать на пинги будет дополнительный адрес самого DFL. Данное правило работает на пинги с любых сетей и интерфейсов, кроме Core, т.е. в веб-интерфейсе нельзя доп. IP пропинговать.
Если дополнительных адресов много (или даже целая подсеть), то указываем их/её в поле DestinationNetwork обоих правил и обязательно в правиле SAT ставим галочку All-To-One.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

К чему эти "костыли" ? Вроде я объяснил, что все работает у DFL. Он все принимает, передает, транслирует и т.д. Он просто тупа фильтрует ответы на арп-запросы, которые идут на его интерфейс. Все.
Все остальное он делает нормально, из того, что мне нужно.
Из-за того, что не отвечает интерфейс на арп-запрос, в traceroute вместо адреса первого хопа идут звездочки. Дальше все ок.

Проблема - нет ответа от интерфейса на арп-запрос. В мануале написано - должно работать. Я тестировал древнюю версию, если не ошибусь 2.12 - все было гуд. Просто новые железки идут с 2.20 и шить их на 2.12 и потом, если не заведутся везти их в ремонт, как-то лень.

За одно, может кто сможет проверить такую ситуацию:

После "холодной" перезагрузки и выхода на рабочий режим, отключаем питание(!) на устройство. Затем включаем - и... иногда идет сброс к заводским настройкам и стандартной прошивке.
Замечал 2 раза (2.25.22). Будет возможность протестировать, попробую сделать еще раз на 2.26.
Ни у кого таких бед небыло ?

Ага, работает. Я однажды пытался подобное сделать, но не получилось. Видимо, где-то ошибался.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Этот вариант не выход. Тем боле, что смысл такой переадресации не понятен. Да и помнить о том, что если этот шлюз не используется, то и правило желательно удалить - не гуд. А если шлюзов будет 100 и из разных сетей, то прописать 100 правил х 2 ? Я бы не хотел, чтобы у меня пинговались все адреса которые маршрутизируются на интерфейс, а только те, которые раально участвуют.
Глупость.
И проблему трассировки не решит(корректно, т.е с указанием не просто устройства, а именно правильного шлюза из свой подсети). Надо чтобы трассировка бегала и снаружи и изнутри с указанием адресов хопов, если это не запрещено правилами. А легким удалением из ARP, не отвечать на запросы. Все просто и понятно, без городушек.
Да и трансляция не нужна, надо просто сделать маршрутизацию, а потому хотелось бы, прописать в ARP на интерфейсе адрес и его юзать как шлюз, видеть его в трассировке, и получать от него ответы.

Читаю Ваш первый пост - "Нужно чтобы просто этот адрес отвечал на пинги". Решение дано. Что не так? Чего у Вас там фильтрует DFL? У меня ничего не фильтрует и нормально отвечает на ARP запросы своим МАКом, если спрашивают доп. IP броадкастом. Какой режим используется в ARP (Publish, Static, XPublish)? Трейс тоже нормально работает!

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Других случаев, когда будут показаны звездочки при трассировке, Вы не знаете и сразу сделали вывод, что нету арп-ответа? Так и будете видеть звездочки, пока не сделаете разрешающее правило, а в случае с доп. IP еще и SAT. Можно подумать, что на обычный IP интерфейса не требуется разрешающее правило.
100 шлюзов быть просто не может. Это что за топология сети такая с учетом лимитом на порты и VLANы у DFL??

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

В первом посте было указано, каким способом создан внешний IP, и что мы пытаемся получить.
В таблицу ARP добавили IP адрес и пингуем его. Другие варианты, типа ссылки, подмены - не интересуют.
Правило стоит Src any, all-net - Dst-any, all-net =Allow
Даже так не хочет отвечать. Режим ARP-Publish
Все остальные правила даже удалил. Молчит.

Причем тут топология? Мне надо получить ответ от DFL, после добавления IP-адреса в таблицу. Не работает - значит баг, и надо править. А как сделать чтобы что-то отвечало на запросы, это не вариант, завернуть не составляет труда.

Разрешающе правило простое - все интерф., все сети - на все инт. все сети - разрешить. Используется маршрутизация.

А выводы, что он получает и отдает - запустите на DFL dump и увидете, что он ловит все на входе и не отдает ничего на выход.

Вопрос стоял так - баг это или нет, и если нет, то где в настройках надо что-то включить. Все. Раньше это работало.