Задача:
На DFL порубить LAN на VLAN-ы.
Для каждого VLAN поднять свой DHCP на DFL (етественно, у каждого DHCP взаимно неперекрывающиеся пулы)
С каждого из DHCP раздать виртуальные DNS попадающие в подсеть, соответственно, каждого VLAN и пробросить DNS, а для некоторых VLAN и WINS через Relay на DFL.

Попытка решения:
В виду того, что DFL не умеет рубить LAN на изолированные порты своими средствами, использую коммутатор, который умеет это делать.
В DMZ мне нужно больше одного порта (в DMZ VLAN мне не нужны).
Для того, чтобы не ставить дополнительный коммутатор для DMZ меняю местами LAN и DMZ (конечно, конфигом).
После этой процедуры у меня получается 1 порт LAN и нужное количество портов для DMZ.

Настраиваю два DHCP, один для LAN, другой для DMZ.
VLAN не поднимаю. Тестирую. Все работает красиво, как задумано в перевернутом виде.
DNS и WINS Relay нормально отрабатывают для LAN через LAN_ip и один виртуальный IP, организованный через Interfaces\ARP.
Для DMZ так же все радостно. Там тоже нормально работают два DNS Relay-я, один через DMZ_ip, а другой так же через ARP.

Иду дальше. (Рулю DFL со стороны DMZ, т.к. там больше не будет радикальных изменений в правилах)
Строю на коммутаторе VLAN-ы.
Организовываю VLAN-ы на DFL (Interfaces\VLAN) с нужными VLAN ID.
Настраиваю еще четыре DHCP на DFL для каждого VLAN.

Наконец цепляю комп по очереди к каждому из VLAN через коммутатор.
Адреса раздаются, как задумано. Все работает красиво. Все пингуется как задумано.
Но с резольвингом проблемы.
Если прописываю честные DNS руками на компе, то все работает нормально.
Получаю DNS адреса с DHCP - резольвинг начинает косячить.

Начинаю разбираться детально.
Выясняется, что по-нормальному работает только один DNS (WINS) Relay, который настроен через реальный LAN_ip.
Пытаюсь пинговать LAN_ip из каждого VLAN - все нормально.
Пытаюсь пинговать виртуальный IP, который через ARP - не пингуется. Пигую его же из DMZ (там нет VLAN) - пингуется.
Снова цепляюсь компом сразу на LAN DFL-ки до коммутатора - опять все нормально.

То, что это какая-то проблема с ARP я уже понял.
Подскажите, где дальше рыть.

Пока оставил на всех DHCP для VLAN первым DNS - DNS с Relay-ем через LAN_ip (через него же WINS Relay), вторым DNS реальный DNS в I-Net без Relay - это работает, но это не решение проблемы.

Вообще говоря, все работает нормально (проверено)

Коли вы делали дополнительный адрес в LAN для настройки второго DNS/WINS relay, сделайте то же самое и в VLANах (ARP publish для дополнительного адреса - тоже)
При этом, выдавайте на VLAN DHCP серверах адреса из того же VLAN
Кстати, а маршрут на core для дополнительного адреса делали?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Dark Mind, скажите, а какова конечная цель в DNS релеях? В сети есть собственный DNS сервер или что?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо, сегодня попробую.

Да.

1. Чтобы было красиво.
2. DNS1 и WINS в серых адресах - к ним ходить по IPSec и резольвить домен *.local
3. DNS2, а желательно и DNS3 (конечно, если это будет реализовано для DHCP DFL в следующих прошивках) нужен для резольвига трафа, который не имеет смысла загонять в тунель, типа внешнего почтового к mail хостингу и к нетарифицируемым сегментам сети ISP.
4. Оптимизация затрат на услуги связи. IPSec проходит по нетарифицируемому сегменту сети ISP, но для того, чтобы заюзать этот нетарифицируемый сегмент приходится еще оплачивать внешний траф, который желательно бы за месяц выбирать, чтобы врагу не достался.
5. В удаленном офисе, в виду того, что идет строительство, ближайшие 2 года сервера не предвидятся, так же, как и антиэлектростатический линолиум, кондиционер и нормальное электричество в серверной. Но люди работают. По этому, нужно, хотя бы частично, эмулировать функции серверов на DFL чтобы, пока немногочисленные, работники могли юзать уже готовые сегменты локалки как автономно (когда WAN упал), так и в интеграции с сетью главного офиса.

Спасибо, все получилось очень красиво.
Идею уловил, но сделал чуть-чуть по другому.
1. Собрал в одну группу все VLAN интерфейсы и LAN (галку EQ на группе не ставил).
2. Поменял в ARP Publish для уже сделанного виртуального IP LAN на созданную группу.
3. Больше ничего не переписывал. Все заработало.

Да Вы мне расписали преимущества собственного DNS. Я это и так знал. Вопрос был в том, зачем применять именно релей, заставляя срабатывать правилу SAT+NAT, вместо того, чтобы клиентам сразу выдавать в качестве DNS-серверов их "серые" айпишники.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)