Имеется доменная локальная сеть на основе DGS-3324sr. Созданы 3 vlan'а и интерфейсы: default - 192.168.10.0/24 if 192.168.10.1, main - 192.168.171.0/24 if 192.168.171.1, asu - 192.168.127.0/24 if 192.168.127.1. На контроллере домена подняты dns, dhcp (адрес 192.168.171.5).
Для вланов на DGS-3324sr настроены dhcp relay и dns relay.

Стоит задача вывести сеть в интернет через DFL-860e. wan1 - настройки статические - wan1-ip, wan1-net, wan1-gw, wan1-dns1, wan1-dns2. Что сделано: Настроены адреса: lan-ip 192.168.10.254, lan-net 192.168.10.0/24. Созданы вланы на интерфейсе lan: vlan-main, vlan-asu. Написаны правила для доступа в интернет, для разрешения имен в интернете настроен dns-relay к wan1-dns1. На DGS-3324sr шлюзом по умолчанию настроен 192.168.10.254.

Теперь при подключении к интернету внешние и внутренние адреса пингуются, но сломался dhcp-relay и dns-relay внутренней сети. Как мне запретить локальным машинам искать dhcp-сервер на DFL-860e и как настроить разрешение имен одновременно для локальных ресурсов и интернета?

А зачем использовать dns relay на DFL, когда можно воспользоваться dns сервером в своей сети (на КД)? Чисто умозрительно dhcp сервер на КД будет раздавать адреса, а также сообщать шлюз которым будет будет DFL, а dns сервером будет КД, и если сам он не сможет разрешить имена, то отправит запрос на dns провайдера уже.
Попробуйте снести dns relay на DFL. тогда по идее dhcp-relay и dns-relay внутренней сети заведутся.

я бы использовал DHCP и DNS от Windows, а не от DFL и всё.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

С этим понятно, но что раздавать в качестве шлюза по умолчанию на машины, если сейчас это адреса интерфейсов на DGS-3324?

На клиентах основной шлюз - DGS-3324, если сеть побита на подсети. На DGS-3324 - основной шлюз - DFL.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ОК, спасибо. Завтра проверю, как заработает.

dns-relay до интернета на DFL-860e я снес, на dns-сервере прописал адреса пересылки - wan1-dns1 и wan1-dns2, теперь dhcp и dns заработали (ура!). Но теперь взаимодействие в локальной сети накрылось, не могу отловить ошибку. Какие еще правила нужно прописать, чтобы настроить прозрачную работу внутри локальной сети?
Access Rule на all-lan-nets (lan, vlan-main, vlan-asu) написано.

А в чем именно проблема по работе с локальной сетью? Опишите симптомы и что хотели видеть.

Что значит "взаимодействие в локальной сети накрылось"? 1) Нет пигга между машинами по IP, 2) Нет пинга между машинами по имени (не работет DNS), 3) Пинг есть, но нет никого в сетевоv окружении, 4) сетевое окружение есть, но шары не открываются, 5) ???

У меня вообще-то 10 вланов настроено в локальной сети. Ситуация такая: Не все машины в сети main (171.0) видят интернет, из сети 171.0 не вижу сервер с адресом 170.2. Ну и еще по мелочи, в логах постоянно записи вида Default Rule drop с одной подсетки на другую (в локальной сети).

P.S. В таблице маршрутизации Main все маршруты по умолчанию, как при создании вланов, кроме маршрута в интернет - там я снизил метрику.

так пожет правила посмотреть

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

На http://service.d-link.ua/node/75 написано: "правило разрешающее прохождение пакетов со стороны VLAN 3 на DFL на ip-адрес 192.168.2.1 будет выглядеть так" и приведено правило ping-inbound из vlan3/vlan3-net к core/vlan3-ip. Это только пинг или оно разрешает весь трафик из подсети vlan3? Нужно ли мне писать аналогичные правила для каждого vlan у себя?

Еще вопрос: нельзя ли настроить DGS-3324sr так, чтобы весь трафик внутри локальной сети оставался на нем и не шел выше до dfl? Понятно, что сейчас шлюзом по умолчанию является dfl. Статических маршрутов на dgs нет.

паралельная ветка .....

так правила то увидим ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вы сначала определитесь, кто У Вас будет связь между VLAN осуществлять -- DGS или DFL и какие связи нужны. И может, Вам лучше совсем отказаться от VLANов? Обычно такую сложную конфигурацию используют люди, хорошо разбирающиеся в маршрутизации и матчасти рутеров/свитчей. Вам она по наследству досталась?