Самое интересное - сегодня просто ничего не меняя в правилах и настройках, кроме одного -добавил новое правило на еще один внутренний ip и прописал на него два правила nat, с выходами уже через вторые внешнии ip по двум wan, и о чудо уже второй ip на wan2 начал нормально работать, с третим так не прокатило, в чем засада ???
Никаких других настроек не менял. Мне кажется это или желзяка глючит или прошивка, хотя прошивка разные ставил.

Для того, чтобы выяснить, глючит ли устройство или провайдер, или Вы сами накосячили и нужно выполнять различные проверочные действия, которые Вам рекомендуют, например поменять WAN1 с WAN2 или "основной" ip c якобы неработающим "третьим". Ну а пропинговать все адреса так-таки не судьба? Религия не позволяет или боитесь, что Вас взломают по ICMP ?

У меня однажды нечто подобное происходило с правилами проброса портов. Не работало, пока не снес и записал то же самое правило заново.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сегодня немного переделал , сделал основным WAN2 , а резервным WAN1 , переписал адресную книгу сменив IP соотвецтвенно местами .
Теперь через WAN2 даже не могу выйти во вне : вот кусочек логов
Date Severity Category/ID Rule Proto Src/DstIf Src/DstIP Src/DstPort Event/Action
2012-06-06 13:13:51 Warning RULE6000051 Default_Rule UDP wan2 121.146.196.162 xxx.255.xxx.14 48526
62762 ruleset_drop_packet
drop
ipdatalen=111 udptotlen=111
2012-06-06
13:13:51 Warning RULE
6000051 Default_Rule TCP wan2 124.253.184.45
xxx.255.xxx.146 18177
37755 ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1
2012-06-06
13:13:50 Warning RULE
6000051 Default_Rule UDP wan2 79.144.82.88
xxx.255.xxx.146 10029
37755 ruleset_drop_packet
drop
ipdatalen=38 udptotlen=38
2012-06-06
13:13:50 Warning RULE
6000051 Default_Rule UDP wan2 176.33.202.230
xxx.255.xxx.146 29173
62762 ruleset_drop_packet
drop
ipdatalen=109 udptotlen=109
2012-06-06
13:13:49 Warning RULE
6000051 Default_Rule TCP wan2 58.97.128.96
xxx.255.xxx.146 50130
37755 ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1
2012-06-06
13:13:49 Warning RULE
6000051 Default_Rule UDP wan2 78.101.87.240
xxx.255.xxx.146 32473
37755 ruleset_drop_packet
drop
ipdatalen=75 udptotlen=75
2012-06-06
13:13:49 Warning RULE
6000051 Default_Rule UDP wan2 68.104.7.31
xxx.255.xxx.146 14026
37755 ruleset_drop_packet
drop
ipdatalen=38 udptotlen=38
2012-06-06
13:13:49 Warning RULE
6000051 Default_Rule UDP wan2 188.72.125.113
xxx.255.xxx.146 34273
44237 ruleset_drop_packet
drop
ipdatalen=125 udptotlen=125
2012-06-06
13:13:49 Warning RULE
6000051 Default_Rule TCP wan2 178.127.127.111
xxx.255.xxx.146 65268
58043 ruleset_drop_packet
drop
ipdatalen=28 tcphdrlen=28 syn=1
2012-06-06
13:13:49 Warning RULE
6000051 Default_Rule TCP wan2 84.228.255.206
xxx.255.xxx.146 60607
37755 ruleset_drop_packet
drop
ipdatalen=28 tcphdrlen=28 syn=1
2012-06-06
13:13:48 Warning RULE
6000051 Default_Rule UDP wan2 50.22.158.145
xxx.255.xxx.146 15040
48743 ruleset_drop_packet
drop
ipdatalen=73 udptotlen=73
2012-06-06
13:13:48 Info CONN
600004 NAT_DNS_Relay UDP dmz
wan2 192.168.10.210
192.168.10.1 59952
53 conn_open_natsat
satdestrule=dns_releu_dmz conn=open connnewsrcip= xxx.255.xxx.146 connnewsrcport=10987 connnewdestip=212.15.127.1 connnewdestport=53


DNS Релеит и отдает компу , правило прописано так DMZ DMZALL wans allnet allservis
Естественно wans содердит и wan1 и wan2 .
Где ошибка не могу понять , неужеле и в правду на устройстве WAN2 глючит ??
Почему дропает пакеты ???

По логу он дропает попытки из Интернета подключиться на внешний IP, подозреваю так и задумано . Это явно не ответы на Ваши попытки выйти в Интернет -- у TCP установлен флаг syn, да и порты странные.

Что такое DMZALL, allnet, allservis? То ли Вы просто описались, то ли это Ваши объекты.
Лучше давайте скриншоты во избежание недоразумений.
Кстати, а далеко это Ваше замечательное правило от верха? Что там есть выше?

Ну в общем переделал вместо WAN2 сделал резервным через DMZ и все заработало .
А порт WAN2 совсем перестал работать , даже без резервирования .

Попрыгал я с бубном возле 860 , не помогает .
В общем сейчас конфигурация другая, такая уже :
Основной теперь WAN2 , на нем висят 5 внешних статических IP основного провайдера Х : допустим 1.1.1.1 , 2.2.2.2 , 3.3.3.3 , 4.4.4.4 , 5.5.5.5
Все они прописаны в ARP , и все они работают . В правиле NAT во вкладке NAT стоит Specify sender address в котором я спокойно могу указать любой из 5 IP провайдера X . Выход происдодит правильно . В итоге я спокойно могу 5 внутренних серверов высветить во вне и каждый будет выходить через свой IP .
Добавлен резервный провайдер Z . У которого тоже предоставлено 5 IP допустим : 6.6.6.6 , 7.7.7.7 , 8.8.8.8 , 9.9.9.9 , 10.10.10.10 .
Пока не включено резервирование , и прописав конкретно выход правилом NAT (по аналогии ) для внутренних серверов но уже для интерфейса WAN1 ( а он напомню сейчас стоит уже как резервный ) то все работает . В итоге я спокойно могу 5 внутренних серверов высветить во вне и каждый будет выходить через свой IP но уже через резервного провайдера и интерфейс WAN1 . Но в таком случае не работает резервирование канало провайдеров , а это главная цель !Настраиваю Таблицу маршрутизации main и интерфейс WAN2 на резервирование каналов . В итоге Основной канал если включен то все через него замечательно работае , и сервера выходят через свой IP .
Но если отключить основной канал , и сработает резервирование , WAN1 ( он у меня как резервный ) то выйти во вне может только первый сервер с внешним IP 6.6.6.6 , остальные сервера не могут , из вне пинги не проходят и во вне выйти не могу .
В чем может быть проблема ? В логах на выход никаких сообщений по этому поводу нету , просто как будто ничего не происходит .
Правила SAT чесно в таком варианте не знаю как настроить, на вход пробросить знаю а вот на выход так чтоб светился во вне для всех определенным на пример 7.7.7.7 - не знаю , подскажите плиз .... .

У Вас, как я понял, сейчас 10 правил NAT на выход? И в первом правиле каждой пятерки задано "Use interface address", а в остальных явно задан IP? Попробуйте провести два эксперимента (раздельно):
1) В "первых" правилах также явно задать IP.
2) Правило для резервного канала поставиль выше соответствующего правила для основного. Надеюсь, в dst if у Вас стоит соответственно wan1 или wan2, а не WANS?

Да делал по два правила. Пока резервирование не настроено то все работает, но получается режим балансировки. Как только настраиваю резервирование то 4 внешних ip из 5 на резервом канале отваливаются.
Убираю в таблице маршрутизации резервирование с мониторингом, и делаю два wan полноценными , то все адреса опять видны.
Я не могу понят а где гуру по делинкам, что они скажут.

Из любопытства воспроизвел Вашу конфигурацию на временно свободном маршрутизаторе. Почему-то заработало сразу. Что я сделал неправильно?

Main routing table (автоматически созданные маршруты опускаю):
8 Route IPv4 wan1 all-nets wan1_gw 1 Yes
9 Route IPv4 wan2 all-nets wan2_gw 2 Yes
10 Route IPv4 core wan1_ips 0 No
11 Route IPv4 core wan2_ips 0 No

Default gateway на всех интерфейсах -- None!
Все дополнительные внешние адреса опубликованы через arp -- не привожу, это Вы делали.

IP Rules:
# Name Action Src If Src Net Dest If Dest Net Service
1 servers_to_WAN1_SAT SAT dmz servers wan1 all-nets all_services
2 servers_to_WAN1 Allow dmz servers wan1 all-nets all_services
3 servers_to_WAN2_SAT SAT dmz servers wan2 all-nets all_services
4 servers_to_WAN2 Allow dmz servers wan2 all-nets all_services
5 WAN1_to_servers_SAT SAT wan1 all-nets core wan1_ips rdp
6 WAN1_to_servers Allow wan1 all-nets core wan1_ips rdp
7 WAN2_to_servers_SAT SAT wan2 all-nets core wan2_ips rdp
8 WAN2_to_servers Allow wan2 all-nets core wan2_ips rdp
9 ICMP_NAT NAT any all-nets WANS all-nets all_icmp
10 ICMP Allow any all-nets any all-nets all_icmp
11 LAN_to_WAN NAT lan1 lan1net WANS all-nets all_services

Вкладка SAT правила #1 (показываю только активизированные элементы):
Translate the
(*) Source IP
to:
New IP Address: wan1_ip

Вкладка SAT правила #5 (показываю только активизированные элементы):
Translate the
(*) Destination IP
to:
New IP Address: server_base

Правила #3 и #7: все так же с заменой wan1 на wan2.

Предполагается, что как внешние, так и внутренние адреса идут подряд и описаны диапазонами wan1_ips, wan2_ips, servers, а server_base -- это адрес 1-го сервера. Для тестирования проброшен порт удаленного рабочего стола - rdp. Если адреса не подряд или пробрасывать нужно разные сервисы, то правил будет больше, но принципиальных проблем не вижу.

Для полного счастья нужно еще сделать policy routing для правильного возврата входящих. Также я поленился воспроизводить стандартные фичи вроде drop_smb_all и поддержки активного ftp - сами сделаете .

ТС, не пойму зачем Вам это нужно?

Сделайте как я - пробрость одновременно с 2х внешних IP (разных провайдеров) на 1 внутренний, и со вторым сервером тоже самое (используя альтернативную таблицу маршрутизации). Зачем это делать тогда, когда канал пропадет - пусть все время будут проброшены.

_________________
D-Link DFL-860E (2.30.01.06)
D-Link DGS-3612G
D-Link DGS-3200-10
D-Link DES-1228
D-Link DES-1200-28