День добрый.
Прошу помощи в настройке DFL 860E.

Исходные данные:
Роутер подключен к внешней сети со статическим IP - wan1_ip
Внутренняя сеть подключена через lan - 192.168.1.0\24
Клиенты ходят в инет - все нормально.

Задача:
Необходимо приконнектить еще одну сеть 10.10.10.0\24 с возможностью выхода в инет,
но без доступа к lannet.

Подскажите как правильно это сделать, и какие добавить правила.

Я думаю что лучше всего сделать VLAN на портах DFL 860e.
Потом просто в Объекты->Адресная книга->InterfaceAddresses описываешь новую подсеть(ip, шлюз, маску). Дальше настраиваешь правила, и потом подключаешь правила маршрутизации.
Возможно надо будет еще Опубликовать IP (10.10.10.1) Интерфейсы->ARP
Сам не делал, только предполагаю!

_________________
[url=http://www.solo-line.ru/]Redduck&Freebsd[/url]
Учусь потихоньку, а надо бы побыстрей
http://www.solo-line.ru/

Vlan - нет возможности использовать, в сети много дешевых хабов

если дешовые хабы то одной из подситей придется на компах прописывать руками все сетевые настройки

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Опишите как эта 10-я сеть подключается.

Самое простое и эффективное - подключить 10 сеть к одному из портов LAN, выделенным в отдельный VLAN.

Если это никак невозможно, то с помощью дешевого коммутатора с поддержкой VLAN (например, DIR-100 или Mikrotik RB/250) изолировать сеть 10 от основной, как физический сегмент, но обеспечить ей доступ в инет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

10 сеть состоит из цепочки хабов разнесенных в пространстве по большой площади, и она пока не подключена



А может быть использовать dmz порт. Он у меня не задействован

так у вас физически ( проводами) разделены сети
если да то один порт в Vlan и дальше правила
если все в куче то как говорил придется все руками прописывать .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да физически сети разделены

ну так выделяйте на LAN один порт ( Swith management) в Vlan пишите правила и все будет работать
DHCP в Vlan - по вкусу .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я правильно вас понял?
1. Добавляю в схему еще один свитч с поддержкой vlan.
2. Поднимаю транк от dfl 860 до нового свича
3. Для lan2 правила на dfl 860



И получится, что маркированный трафик будет ходить только между свичом и dfl?

нет

никакого доп оборудования не понадобится. Просто втыкаете кабель от 10-й сети в DMZ порт. Или в любой из LAN портов, каждый из которых можно сделать расположенным в отдельном VLANе - логически и физически изолированном сегменте.

картинка ваша верная, если заменить "Switch VLAN" на прямой провод.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

давайте уточним точную модель вашей железки ?!?!?!?
если 860 - то в DMZ и далее правила
если 860е то можно выделить один порт на LAN под ваш Vlan .

если вторая то рекомендовал бы второй вариант по некоторым причинам
если захотите добавить третье го провайдера - то все равно придется пересаживать на LAN . не стоит занимать порты с полным функционалом ( DHCP КЛИЕНТ pptp КЛИЕНТ . И ТАК ДАЛЕЕ .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

860е

мой совет , если 860 Е и есть свободный порт на LAN то выделяйте его в Vlan и далее делайте правила и будет работать .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ладно попробую.