Установил Vlan на одном из портов (lan2- 10.10.100.0/24).
Поднял для этой сети dhcp.
Установил для lan2, ip rules аналогично правилам для lan

DFL-860E:/> rules
Contents of ruleset; default action is DROP
# Act. Source Destination Protocol/Ports
-- ----- ---------------------- ---------------------- --------------
1 Allow lan:192.168.1.0/24 core:192.168.1.254 "ping-inbound"
2 Drop lan:192.168.1.0/24 wan1:0.0.0.0/0 "smb-all"
3 NAT lan:192.168.1.0/24 wan1:0.0.0.0/0 "ping-outbound"
4 NAT lan:192.168.1.0/24 wan1:0.0.0.0/0 "ftp-passthrough-av"
5 NAT lan:192.168.1.0/24 wan1:0.0.0.0/0 "all_tcpudp"
6 Drop lan2:10.10.100.0/24 wan1:0.0.0.0/0 "smb-all"
7 NAT lan2:10.10.100.0/24 wan1:0.0.0.0/0 "ping-outbound"
8 NAT lan2:10.10.100.0/24 wan1:0.0.0.0/0 "ftp-passthrough-av"
9 NAT lan2:10.10.100.0/24 wan1:0.0.0.0/0 "all_tcpudp"

Хосту из lan2 адрес dhcp выделился
Но в интернет из lan2 не пускает.
В логах:
Warning RULE UDP lan2 10.10.100.10 10.10.100.1 50509 53 ruleset_drop_packet drop
6000051 Default_Rule
Что не так? Где добавить?

DNS релей настроить или DNS серверы раздать

пинг по IP адресу наружу должен работать

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Добавил правила для DNS. Если правильно понимаю нужен релэй до днс сервера провайдера.

DFL-860E:/> rules
Contents of ruleset; default action is DROP
# Act. Source Destination Protocol/Ports
-- ----- ---------------------- ---------------------- --------------
1 Drop lan2:10.10.100.0/24 wan1:0.0.0.0/0 "smb-all"
2 NAT lan2:10.10.100.0/24 core:10.10.100.1 "dns-all"
3 NAT lan2:10.10.100.0/24 wan1:0.0.0.0/0 "ping-outbound"
4 NAT lan2:10.10.100.0/24 wan1:0.0.0.0/0 "ftp-passthrough-av"
5 NAT lan2:10.10.100.0/24 core:0.0.0.0/0 "all_services"
SETSRC 81.28.*.*
6 SAT lan2:10.10.100.0/24 core:10.10.100.1 "dns-all"
SETDEST 81.28.*.*
7 Allow lan:192.168.1.0/24 core:192.168.1.254 "ping-inbound"
8 Drop lan:192.168.1.0/24 wan1:0.0.0.0/0 "smb-all"
9 NAT lan:192.168.1.0/24 wan1:0.0.0.0/0 "ping-outbound"
10 NAT lan:192.168.1.0/24 wan1:0.0.0.0/0 "ftp-passthrough-av"
11 NAT lan:192.168.1.0/24 wan1:0.0.0.0/0 "all_tcpudp"
12 Allow lan2:10.10.100.0/24 core:10.10.100.1 "ping-inbound"
DFL-860E:/>

Пинг с хоста из сети lan2 ходит только до ip интерфейса 10.10.100.1, больше никуда (ни до wan1, ни до wan1_gw)

лучше покажите все ваши настройки через radikal.ru в читаемом виде

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

правило standart неверное. И DNS - релей, как минимум, не в том порядке

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А верное какое.

наподобие предыдущих. вы неправильно скопировали образец (core -> wan1)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это я экспериментировал. С wan1 - тоже самое

Еще идеи есть?

Ошибка в логе - показывает что DNS relay не работает
Он должен быть в строгом порядке
SAT lan2/lan2net core/lan2_ip dns-all, SAT: new dest = your_dns_server_ip
NAT lan2/lan2net core/lan2_ip dns-all

Для проверки, просто из LAN2 попробуйте ping 8.8.8.8 или укажите на клиенте внешний DNS

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc