Доброго времени суток.
Подскажите плз, внезапно наткнулся на проблему в настройке, не получается сделать трансляцию входящих соединений из туннеля.
Имеется DFL-210, который туннелем GRE соединен с сетью в другом офисе. По причине того что офисные сети пересекаются, для доступа в чужую сеть используется NAT, адреса 10.10.10.х транслируются в 10.5.10.х с помошью NAT Pool и наружу все работает, при обращении к другой подсети пакеты в нее уходят с адресов 10.5.10.

Но возникла необходимость иметь адрес, доступный из удаленной сети, т-е некий адрес 10.5.10.х, при обращении к которому пакеты ему адресованные должны транслироваться в 10.10.10.х.
Как я понимаю, это делается правилом SAT, правило создано, правила Allow тоже есть, но пакеты приходящие по туннелю все время дропаются. Allow пробовал и на адрес до трансляции, 10.5.10, и на адрес после трансляции, 10.10.10, разницы нет, не пропускает и все.

Т-е, имеем следующие правила:

SAT
источник: интерфейс GRE туннель, сеть - та что находится за туннелем
место назначения core, сеть - LAN IP (ип-адрес роутера в локальной сети)
так же в качестве назначения пробовал указывать интерфейс LAN и сети 10.5.10 (до трансляции) или 10.10.10 (после трансляции), разницы никакой

Allow
источник: интерфейс GRE туннель, сеть - та что находится за туннелем
место назначения core, сеть - LAN IP
и здесь тож в качестве назначения пробовал указывать и сеть и адрес сервера на который пакеты должны транслироваться

в любом случае в логах имеем

ruleset_drop_packet
drop

Где я чего-то не понял?

Как я понимаю, у вас решена ваша проблема, изложенная в

http://forum.dlink.ru/viewtopic.php?f=3&t=149521

Может вы в той теме опишите, как вышли из положения?

А для этой задачи может вам применить подход, который уже используется, но в противоположном направлении.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

отписал в теме.. тогда я еще не знал, что мне нужно будет не только получить доступ к удаленным ресурсам но и предоставить к своим, на чем сейчас и застопорился (
что касается противоположного направления, может я чего не догоняю, но проблема мне видится в том что я неправильно прописываю разрешения а не в том что адрес не транслируется... хотя, кто его знает. перепробовал уже кажется все варианты, результат один - Default_Rule - ruleset_drop_packet - drop...

Тот IP, который вы используете в SAT правиле, надо ассоциировать на DFL через Routing > Routing tables > main, добавить маршрут с метрикой 0 на IP адрес (в качестве сети) на core

А вообще, в вашей первой теме я вам предлагал ARP proxy - проблем не было бы

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А если не сложно, можно подробнее, как в таком случае должны выглядеть правила? Чувствую что что-то делаю не так, но вот что именно, пока понять не могу.

Что касается ARP-proxy, я с этим на практике еще не сталкивался а сделать надо было срочно... Будет время и возможность, почитаю, поэкспериментирую и может сделаю уже по человечески.

UPD

строчку в роутинг добавил, теперь на адресе 10.5.10.101 отзывается роутер, можно зайти на него по https
при этом:
C:\>tracert 10.5.10.101

Трассировка маршрута к 10.5.10.101 с максимальным числом прыжков 30

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 1 ms 1 ms 1 ms server [10.10.10.101]

Трассировка завершена.

т-е, получается, icmp натится а tcp нет. при том, что в правиле стоит all_services

Allow замените на NAT c явным указанием source IP

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc