Стоит такая задача:
DFL-210 , на WAN приходят две подсети белых адресов от провайдера.
Вторую белую подсеть завел согласно рекомендациям с форума http://forum.dlink.ru/viewtopic.php?f=3&t=140530.
Есть LAN, люди из нее натятся в две белые сети провайдера (кто куда)
Хочу дать человеку из LAN белый адрес из второй провайдерской сети, чтобы ходил напрямую без NATов.
По идее, надо заставить DFL пропускать ARP запросы из LAN в WAN и обратно, но только для одного конкретного IP, точнее двух - провайдерского шлюза и самого компа.
Слышал про transparent-mode, но, как мне кажется, он не подойдет тут, так как потребует кардинального изменения всей логики и всех существующих правил.
Еще нащупывается тема с proxy arp на маршрутах, но никак не могу вкурить, что там как.

Как это можно устроить?

Судя по мануалу, transparent mode не будет работать на тех же интерфейсах, что и stateful правила, то есть это не ваш вариант

Ваше же решение зависит от ситуации. Если у вас wan-адрес - один из пула, то proxy ARP - вот это ваше. Аналогично указанной выше инструкции делаете дополнительную подсеть на lan с более узкой подсетью (можно перечислением или диапазоном, CIDR не важен), более приоритетную. Включаете proxy ARP на wan. В принципе, провайдерский шлюз должен заработать, но лучше выделить отдельный адрес на сторону lan.

Если у вас один wan-адрес и провайдер на него смаршрутизировал подсеть, то proxy ARP не надо, метрика тоже не имеет значения.

В обоих случаях правила - allow в нужном направлении (не обязательно разрешать входящие без надобности).

-- add

Добрые люди напомнили тему viewtopic.php?f=3&t=139337

Оттуда еще один вариант - если лень заморачиваться с дополнительными подсетями и DMZ свободен, то можно сделать transparent mode на нем. Для пущей скьюрности можно клиента в другой VLAN на свитчах.

Или просто в VLAN и на DFL его добавить, TM тоже будет работать

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

у меня две белые провайдерские сетки
1)82.хх.хх.хх/29 (wan1net),есть шлюз (wan1gw) и белый IP, через который люди натятся из lannet
2)93.хх.хх.хх/29 (wan2net), есть шлюз (wan2gw) и белый IP, который я хочу дать (wan2_ip228)

Проясните вашу мысль.



что я пишу в эту узкую подсеть на lan и зачем?
Вы клоните к тому, что между этой новой подсетью и WAN должен работать proxy arp ?



Как?
Есть тут несколько вариантов: и Proxy ARP в маршрутах и Switch Route (который по документации как раз и регулирует хождение ARP между интерфейсами). Вы что имеете в виду?
Тем более, что proxy ARP в маршрутах дает выбрать несколько интерфейсов, на которых "Interface to ARP publish the added route on." (то есть интерфейсы, на которые вешается маршрут). То есть, по логике тут надо выбирать wan.
Плюс, я не понимаю, на каком именно маршруте ставится Proxy ARP в wan


Что вы имеете в виду?

Я имею ввиду вот что
По хорошему (красиво) надо сделать подсеть 93.хх.хх.хх/30 дополнительной в lan
228 выдать так не получится, можно например 225 и 226
Соответственно, 225 будет дополнительным адресом на lan и 226 адрес пойдет клиенту
Маршрут дополнительный на lan вы делаете более приоритетнынм, чем wan2net и у него включаете proxy ARP на wan2

Альтернативно, делаете VLAN, между ним и wan2 делаете transparent mode - тогда дополнительный адрес на шлюз не надо, достаточно будет сеть для клиентов прописать на VLAN или выставить тот же wan2net. TM в этом случае включается и на VLAN, и на wan2

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc