Доброе время суток.

Столкнулся с такой непростой задачей.
Имеется DFL-210.
Провайдер выдает статические IP адреса (пул из 32, допустим 212.0.0.224/27) по кабельному интернету, но выдает их довольно интересно:
К WAN порту подключен кабельный модем, который, как я понял, настроен мостом.
На DFL-210 на порту WAN настроен DHCP клиент, который цепляется к некой внутренней сети провайдера.
На LAN парту настроен IP адрес шлюза из пула адресов (212.0.0.225).
За DFL-210 в локальной сети я могу настраивать машины, но с белыми адресами, указывая на них шлюз в виде DFL-210 (IP:212.0.0.225)
На DFL-210 настроено правило: ALLOW lan\lannet wan\allnet
Все прекрасно работает, но я не хотел бы выкидывать машины напрямую в интернет, хотелось бы маршрутизировать все через DFL-210.
Провайдер посоветовал поставить между модемом и DFL-210 какой-нибудь маршрутизатор, чего тоже хотелось бы избежать.
Для наглядности выкладываю схему.

Прошу посоветовать как можно настроить DFL-210 так, чтобы он имел IP адреса из пула и при этом работал по схеме провайдера.

Благодарю за помощь.

У вас компьютеры с белыми адресами и так все будут ходить в инет через DFL-210. вы им ограничите доступ как захотите. Чего именно вы сами хотите?

С правилом ALLOW lan\lannet wan\allnet all-services все компы имеют неограниченный доступ в инет, но к ним снаружи никакого доступа нет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Хотелось разместить все IP на DFL, а от него уже SAT на внутренние сервера. Так же данный сетап позволит создавать VPN сервера на DFL, а в том что есть сейчас сервер придется создавать либо на железке за DFL либо программный. Или я ошибаюсь и VPN сервер можно будет создать на DFL?

Я не вижу проблем, чтобы создать VPN сервер на DFL и доступаться к нему по его белому адресу в LAN. Это не типовая, но, как мне видится, рабочая конфигурация.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ваша схема - вполне обычная и рабочая. Белая подсеть на LAN уже маршрутизируется через DFL. Если вы не хотите "терять" LAN-адрес DFL, то можете использовать transparent mode, в остальном управление трафиком также будет на DFL, только прозрачно.

Не понимаю, зачем ваш провайдер предлагает дополнительный маршрутизатор.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Теперь мне более менее понятно, спасибо. Провайдер предлагал скорей не маршрутизатор, а просто switch так как на DFL всего 4 порта.
У меня еще один вопрос, правда не по теме.
Возможно ли на DFL-210 настроить двух ISP и взаимозаменяемость их в случае отказа одного из них и есть ли какой-нибудь гайд по настройке сего?

Конечно возможно. Это называется WAN favorier, есть FAQ http://dlink.ru/ru/faq/85/576.html но вообще все проще - делаете резервный маршрут, основной мониторите и во всех NAT правилах меняете wan1 на wans - группу из wan1 + wan2 (dmz).

Это простейшая конфигурация, более точно можно сказать только видя ваши задачи.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Тем не менее данный сетап не подходит.
Прошу помочь в настройке.
Как отправлять в интернет под другим IP я разобрался.
В настройке правил есть вкладка NAT для более тонкой настройки.
Но, как я понимаю, ответы на запросы приходят в данном случаии на подставной IP, который надо где то прописать или настроить маршрутизацию хитро.
Может что-нибудь посоветуете?

Что-то какая то солянка получается. У вас были белые адреса в LAN и тут вы говорите о NAT. Расскажите для начала что вы изменили в вашей сети.

Вообще говоря, если вы сейчас о выпуске через NAT с дополнительным адресом, то ответ на запрос от клиента обрабатывается в рамках того же NAT правила, а для асинхронного получения пакетов на клиента - SAT+Allow.

Но с другой стороны, почему вам не оставить Allow LAN > WAN, а обратно оставить только то, что надо разрешить?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Возможно я не понял что зделал.По порядку что я сделал.
Сеть в LAN была с белыми адресами и правило было ALLOW из LAN в WAN, по инструкции провайдера. К LAN подключен один PC и адрес у него был 212.0.0.230.
Когда заходил на whatismyip.com, отображался мой белый IP, 212.0.0.230.
Потом я изменил правило с ALLOW на NAT и в закладке NAT указал IP 212.0.0.235. Захожу с PC у которого прописан IP 212.0.0.230 на whatismyip, показывает 212.0.0.235. Получается DFL в этом случаии делает NAT от IP 212.0.0.235, когда приходит ответ на пинг допустим то DFL согластно таблице маршрутизации отправляет его в LAN, кстати, верно?

Далее я меняю сеть LAN на 10.0.0.0/24, правило делаю NAT из LAN в WAN и на закладке NAT указываю отправлять от IP 212.0.0.235.
В данном случаии пинг не проходит. Я так понимаю что пакеты уходят, но когда возвращается ответ то его некуда переслать.

Оставить как вы говорите неприемлемо, будем подключать еще одного провайдера у него настройки совершенно другие, получится каша, а хочется все как систематизировать.

А у вас второй провайдер - тоже с пулом адресов или с одним адресом и всем надо будет делать NAT ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Второй провайдер будет через NAT с динамикой.

Вобще, то что я задумал, можно организовать с DFL-210?

Я бы на вашем месте сделал Allow LAN <> WAN1 и NAT LAN > WAN2
Клиенты будут сидеть с белыми адресами, но в случае падения WAN1 пойдут через NAT
Единственное что, делайте без transparent mode

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc