Здравствуйте! Задача такая: с помощью dfl-210 двум подсетям (192.168.0.0/24 и 192.168.4.0/24) раздавать инет. Первую подсеть оставляю как lan, а для второй:
1. создаю объекты "vlanip" и "vlannet".
2. создаю интерфейс vlan
имя: vlan1
инт: lan
vlan id: 1
ip-адрес: vlanip
сеть: vlannet
шлюз: нет.
Маршрут при этом создается автоматически.
3. создаю правило
действие: nat
инт ист: vlan1
сеть ист: vlannet
инт назн: wan
сеть назн: all-nets
сервис: all-tcp-udp.
В итоге машины из подсети 192.168.4.0/24 даже пропинговать не могут dlink по vlanip, неговоря уже о маршрутизации.
В логах пишет:
Дата Уровень сложности Категория/ID Правило Proto Src/DstIf Src/DstIP Src/DstPort Событие/Действие
2010-02-17
12:04:32 Предостережение ARP
300049 Default_Access_Rule lan 192.168.4.100 (ip машины из подсети 192.168.4.0/24)
192.168.4.3 (vlanip dlink'а) invalid_arp_sender_ip_address
drop

Что делать дальше - ума не приложу!!! Читал на этом же форуме, что эта проблема вызвана совпадением mac адресов lan и vlan. Но разве так и не должно быть?! Подскажите, очень нужно сделать

две подсети => два влана

Да это тут причем!!! Да хоть 10 vlan'ов! Дело не в этом, а в том, что между машиной и инрефесом D-link'а из одного и того же vlan'а и соотв одной подсети даже пинг не проходит, не говоря уже о nat'e! Неужели никто не знает!

Пинг надо точно также разрешать. дополнительным правилом. наподобие уже существующего для lannet.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

у вас вланы прописаны только на длинке или на компах тоже ?

Да все я разрешил. Сделал для инт vlan1 точно такие же правила как и для инт lan. результат =0. Он даже в логах пишет что "ошибка обращения к инт lan", хоят я пытаюсь подключиться к инт vlan1. vlan'ы на компах никакие не надо прописывать!! Ip их сет инт просто долны быть из той же подсети, что и ip vlan1 d-link'a. Неужели никто не настраивал vlan на dfl-210??

Сам DFL не может создавать VLAN, он их только понимает.
Создание VLAN вам надо выполнять на L2 свитче.

А вообще - что-то не понятно, что вы хотите сделать. Если сеть общая, то как не прописывать VLAN на клиентах? Либо это на ПК делается, либо на свитче.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вы плохо разбираетесь в вопросе. На данный момент вы создали на LAN дополнительный тегированный интерфейс. Чтобы к нему цепляться компы тоже должны быть настроены на теги. А это на большинстве компов невозможно.

Так что вам нужно менять концепцию. Варианты:
1. Привлечь коммутатор с поддеркой VLAN
2. Выделить другую подсеть на dmz интерфейс
3. Прикрутить к lan дополнительную сеть без привлечения VLANов. При текущем раскладе вы этого фактически и хотите.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

раскройте ваши источники информации

Если бы я хорошо разбирался в вопросе - не создавал бы эту тему. Поробовал предложенные вами варианты 1 и 2 - все работает. Спасибо. В дальнейшем еще потестирую и виберу один из них. Я вот ни разу пока не сталкивался с компами, сет. инт. которых поддерживают vlan. Только нашел на нескольких ПК в настройках сет. инт. функцию включения тегирования. Но зачем она, если vlan все равно создать нельзя??

Не факт, что сетевые карты ПК смогут затегировать пакеты так, чтобы DFL их признал VLANом (хотя и могут, я думаю). Но вообще, для этиих целей надо использовать свитч, иначе смысла в VLAN практически нет, можно просто другую подсеть использовать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Они их тегируют, как полагается. Проблем нет. Всё же нехитро.

Есть случаи, когда это оправдано без привлечения свитча. Иногда провайдер дает инет по VLAN. Иногда во внутренней сетке удобно изолировать сегмент, если нет нужды в серьезной безопасности.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Чтобы "изолировать сегмент", надо ж чтобы свитч поддерживал VLANы и не пускал внутриVLANовый мультикаст на ненужные порты - иначе это равнозначно просто добавлению новой подсети.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Требуется консультация по настройке VLAN'ов на 210-м DFL'е.
Сейчас на lan-интерфейсе DFL одна подсеть 192.168.200.0/24. Планируется на lan поднять, допустим, ещё пару подсетей, загнав их в VLAN'ы: 192.168.201.0/24=VID 1 и 192.168.202.0/24=VID 2. Все 3 подсети планируется затем загнать в гигабитную RouterBoard от MikroTik, сконфигурированную как L3-свитч, с которой Инет будет раздаваться непосредственно клиентам.
Вопрос в том, нормально ли будет проходить трафик текущей нетегированной подсети физического lan-интерфейса 192.168.200.0/24 вместе с тегированным трафиком двух выше обозначенных VLAN'ов, опубликованных на том же самом интерфейсе, или нужно также затегировать трафик этой подсети, загнав её в VLAN, допустим с VID 3, а текущую нетегированную подсеть либо удалить, либо отключить?
Если проблем с проходом трафика не будет, то какой ID в таком случае по умолчанию присваивается нетегированной подсети? VID 0?

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

Ходить будет нормально, и именно без VLAN тегов вообще.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc