Есть DFL-800 (2.26.00.06)

задача сделать перенаправление портов с помощью дополнительного IP-адреса на WAN-порту НО не на ip адрес из lannet сети роутера (скажем 192.168.1.2), а на другой адрес (скажем 10.0.0.2).

в инструкции в факе есть вариант только для lannet
http://dlink.ru/ru/faq/85/481.html

а тут немного иначе:
то есть родная lannet сеть роутера например 192.168.0.0/24
также к LAN роутера подключена машина с ip из сети 10.0.0.0/24
нужно с дополнительного адреса на wan прокинуть порты в LAN на этот адрес 10.0.0.x

надеюсь я понятно объяснил.

заранее спасибо.

Для добавления сети на LAN
1. Делаете arp publish на адрес DFL из 10й сети (как я понял 10.0.0.2)
2. Добавляйте маршруты lan 10.0.0.0/24, core 10.0.0.2

Для добавления сети на WAN
1. Делаете arp publish
2. Добавляйте маршрут вашего допадреса на core

Ну и правила... Опишите точнее что надо, точнее скажу правила.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

так.

есть dfl800, его WAN1 ip 1.1.1.1
LAN 192.168.1.1 и соответственно lannet 192.168.1.0/24 в ней есть машины. также на одном свиче с ними висит машина с ip 10.0.0.2 (сеть /24)

задача сделать публикацию портов на эту машину с помощью дополнительного WAN адреса роутера.
то есть все запросы на 1.1.1.2 отправлять на 10.0.0.2

по описанию из фака я могу только прокинуть порты на машину из lannet то есть на 192.168.1.2 (1.1.1.2 -> 192.168.1.2).
для этого делается ARP Publish дополнительного ip на WAN1 интерфейсе и прописывается два правила,

1. SAT на 192.169.1.2, src:any, srcnet:all-nets, dst:any, dstnet:1.1.1.2, svc:all_services
2. Allow для src:any, srcnet:all-nets, dst:any, dstnet:1.1.1.2, svc:all_services

и все работает, больше никаких роутов не надо.

В случае же с 10.0.0.2 получается, что надо дать LAN роутера второй ip, то есть ARP Publish LAN 10.0.0.1
и прописать какой то хитрый роут, на этом у меня мысль останавливается.
я так понимаю добавить надо в таблицу main, только вот что ставить в
Interface:
Network:
Gateway:
Local IP address:
Metric:

заранее спасибо

Ладно упростим задачу.

Как назначить LAN интерфейсу альтернативный ip адрес.
Я сделал ARP publish на LAN с новым ip
прописал правило разрешать пинг на него
allow_ping_lan Allow any all-nets core Lan_ip_virtual all_icmp

добавил роут
Route lan virtual_lan_net 100


с хоста в этой сети роутер так и не пингуется, а с роутера хост пингуется.
что не так?

Вы забыли добавить маршрут на core с новыми адресом DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

йес!
вот чего не хватало.
все заработало, спасибо!

так...
похоже это еще не всё

Добавил: Route, core, Lan_ip_virtual, 100
как будто заработало
теперь машина внутри пингует шлюз (доп. lan ip роутера)
снаружи на машину можно обратиться по доп. внешнему адресу WAN роутера

правда вот инета с машины не было.
добавил правило
allow2, NAT, lan, lannet_virt, any, all-nets, all_services
прописал dns

не знаю насколько корректно оно, но заработало.

а вот в идеале еще, чтобы машина изнутри выходила в инет в этим доп. WAN ip . сейчас она выходит под родным wan ip роутера, а не под дополнительным

вспух

пардон
это оказалось оч.просто.
закладка NAT в правиле и там Specify sender address\New IP Address указал новый доп .адрес

Вместо any укажите конкретный интерфейс...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

ага. конкретизировал куда. спасибо!

осталась еще одна проблемка с dns relay.
хочется указать днсом для той сети доп. ip роутера

в факе есть описание как сделать его для родной LAN сети. добавляется два правила.
1 SAT_DNS_Relay SAT lan lannet core lan_ip dns-all
2 Allow_DNS_Relay NAT lan lannet core lan_ip dns-all

я попробовал по аналогии изменить lannet и lan_ip на lannet_virt и lan_ip_virt соответственно, ну то есть на доп. сеть и адрес LAN интерфейса из нее. не помогло.

опс

вместо изменения правила сделал по два правила для каждой сети.
заработало.

впору писать фак