по скриншотам все верно ,
а вы как обращаетесь по имени или IP?
и еще покажите status-route в логах есть что то ?! на предмет дропов ? антивирусы и подобное не могут блокировать доступ не из своей подсети?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Обращаюсь по IP конечно. Антивирусов на этих серверах нет, iptables отключен для исключения оного в блокировании пакетов.
А в логах вижу следующее:
2012-12-06
13:13:47 Warning RULE
6000051 Default_Rule ICMP lan2
192.168.20.2
192.168.0.253
ruleset_drop_packet
drop
ipdatalen=64 icmptype=ECHO_REQUEST echoid=26995 echoseq=404


Видимо действительно отбрасывает пакеты. Ну ведь правило то стоит. Что не так?

NAT any \all-nets any\all-nets ping-outbound
выше всех правил в корень

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Костыль какой-то. Но тут опять затык в том, что со второго сервера пинговать первый, ответы приходят. С первого второй - не приходят.

Ну и опять таки - это ведь дыра. Правда ICMP дыра, но все же.

Скажите, а вот эти два интерфейса lan1 и lan2. Их можно объединить как то? Ну чтобы первый был маршрутизируемым, второй просто коммутируемым. Ну и шлюз один, например, только lan1. Я думал они разделены в разные VLAN, но такой настройки не могу найти(вернее Vlan есть, но он пустой).

- в обоих сетях DFL является шлюззом?

отключите антивирусы/файрволлы на обоих серверах

пробуйте пинговать с серверов шлюз (адрес DFL) в удаленной сети/ Но для этого на DFL надо правила
allow lan1 lan1net core all-nets ping-inbound
allow lan2 lan2net core all-nets ping-inbound

это точно антивирусы/файрволлы или маршрутизация на серверах

согласен. надо делать красиво. но сначала для тестов проще все разрешать


lan1 и lan2 - разные физические и логические интерфейсы и сети

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

извиняюсь обычно дописываю
"если получится модернизируйте для своих нужд "

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я понял Вас, Vladimir22, спасибо Вам большое за советы.

Получилось добиться следующего:
С помощью таких правил
1) lan1_to_lan2 NAT lan1 lan1net lan2 lan2net all_services
2 lan2_to_lan1 NAT lan2 lan2net lan1 lan1net all_services
сервер 192.168.20.2/24 имеет полный доступ к сервер 192.168.0.253/16.
А вот обратно никак.

Плюнул. Переткнул первый сервер(192.168.0.253/16) в lan3, дал ему адрес 192.168.30.2/24 и все заработало. Переделал правила, что выше только с интерфейсом lan3.

lan1 тоже задействовал, только дал ему CIDR 24. Или я дурак или не умеет dfl маршрутизировать между разными классами сетей ) Ой как хотелось бы, что все таки дурак я.

Всем огромное спасибо за участие.